🛡️ DevSecOps Cheatsheet

Comandos essenciais para segurança, hardening e proteção de sistemas

🛡️ O que é DevSecOps?

📖 Definição

DevSecOps é uma abordagem que integra segurança no ciclo de vida de desenvolvimento de software, desde o planejamento até a produção. Combina práticas de desenvolvimento, operações e segurança para criar sistemas mais resilientes e protegidos contra ameaças cibernéticas.

💪 Por que aprender?

• Security as Code
• Automated security testing
• Vulnerability management
• Infrastructure hardening
• Threat detection and response

🚀 O que você pode fazer?

• CI/CD security pipelines
• Cloud security
• Container security
• Network security
• Compliance automation

💡 Onde você vai usar:

🔒 Security
Firewall, IDS/IPS

🔧 DevOps
CI/CD, Automation

☁️ Cloud
AWS, Azure, GCP

⚡ Protection
Hardening, Monitoring

Filtro ativo:Todos

Total: 9 categoriasBásico: 2Intermediário: 2Avançado: 5

🔑 SSH Hardening

Configurar acesso remoto seguro e hardening de servidores SSH

📋Hardening Básico

Básico

sudo nano /etc/ssh/sshd_config

# Edita configuração

Básico

Port 2222

# Muda porta padrão

Básico

PermitRootLogin no

# Bloqueia root

Básico

PasswordAuthentication no

# Desabilita senhas

Básico

PubkeyAuthentication yes

# Habilita chaves

Básico

Protocol 2

# Força protocolo 2

Básico

sudo systemctl restart sshd

# Reinicia serviço

📋Chaves SSH

Básico

ssh-keygen -t ed25519 -b 4096

# Gera chave forte

Básico

ssh-copy-id -i ~/.ssh/id_ed25519.pub user@host

# Copia chave

Básico

chmod 600 ~/.ssh/id_ed25519

# Protege chave privada

Básico

chmod 644 ~/.ssh/id_ed25519.pub

# Permissão pública

🔐 SSL/TLS Management

Gerenciar certificados SSL/TLS para comunicação segura

📋OpenSSL - Gerar Certificados

Básico

openssl genrsa -out private.key 2048

# Gera chave privada

Básico

openssl rsa -in private.key -pubout -out public.key

# Extrai pública

Básico

openssl req -new -key private.key -out certificate.csr

# Gera CSR

Básico

openssl x509 -req -days 365 -in certificate.csr -signkey private.key -out certificate.crt

# Gera certificado

Básico

openssl genrsa -aes256 -out private-encrypted.key 2048

# Chave criptografada

📋Verificação de Certificados

Básico

openssl x509 -in certificate.crt -text -noout

# Detalhes do cert

Básico

openssl rsa -in private.key -check

# Valida chave

Básico

openssl req -in certificate.csr -text -noout

# Detalhes CSR

Básico

openssl verify certificate.crt

# Verifica cert

📋Let's Encrypt

Básico

sudo apt install certbot python3-certbot-nginx

# Instala certbot

Básico

sudo certbot --nginx -d example.com -d www.example.com

# Gera cert

Básico

sudo certbot renew --dry-run

# Testa renovação

Básico

sudo crontab -e

# Agenda renovação

🛡️ Firewall e Network Security

Configurar firewalls e proteger a rede contra ataques

📋Configuração Básica

Intermediário

sudo ufw enable

# Habilita firewall

Intermediário

sudo ufw disable

# Desabilita firewall

Intermediário

sudo ufw status

# Status do firewall

Intermediário

sudo ufw status verbose

# Status detalhado

Intermediário

sudo ufw default deny incoming

# Bloqueia entrada

Intermediário

sudo ufw default allow outgoing

# Permite saída

📋Regras de Portas

Intermediário

sudo ufw allow 22/tcp

# Permite SSH

Intermediário

sudo ufw allow 80/tcp

# Permite HTTP

Intermediário

sudo ufw allow 443/tcp

# Permite HTTPS

Intermediário

sudo ufw allow 2222/tcp

# SSH customizado

Intermediário

sudo ufw deny 23/tcp

# Bloqueia Telnet

📋Regras Avançadas

Intermediário

sudo ufw allow from 192.168.1.0/24

# Permite rede

Intermediário

sudo ufw allow from 1.2.3.4 to any port 22

# IP específico

Intermediário

sudo ufw delete allow 80/tcp

# Remove regra

Intermediário

sudo ufw reset

# Reseta firewall

🔍 Vulnerability Scanning

Identificar vulnerabilidades e realizar testes de segurança

📋Varredura Básica

Intermediário

nmap -sS target.com

# SYN scan

Intermediário

nmap -sV target.com

# Detecta versões

Intermediário

nmap -O target.com

# Detecta OS

Intermediário

nmap -p 1-65535 target.com

# Todas portas

Intermediário

nmap -A target.com

# Scan agressivo

📋Varredura Avançada

Intermediário

nmap -sS -sV -O -p- target.com

# Scan completo

Intermediário

nmap -T4 -A target.com

# Timing agressivo

Intermediário

nmap --script vuln target.com

# Scan vulnerabilidades

Intermediário

nmap -oN scan.txt target.com

# Salva resultado

📋Scripts NSE

Intermediário

nmap --script smb-vuln-ms17-010 target.com

# EternalBlue

Intermediário

nmap --script ssl-heartbleed target.com

# Heartbleed

Intermediário

nmap --script http-sql-injection target.com

# SQL Injection

📋Nikto - Web Scanner

Intermediário

nikto -h http://target.com

# Scan básico

Intermediário

nikto -h https://target.com -ssl

# Scan HTTPS

Intermediário

nikto -h target.com -o scan.txt

# Salva resultado

Intermediário

nikto -h target.com -Tuning 9

# Testes específicos

🔑 Segurança Avançada SSH

Implementar proteções avançadas contra ataques SSH

📋Limitações de Acesso

Avançado

AllowUsers user1 user2

# Usuários permitidos

Avançado

AllowGroups sshusers

# Grupos permitidos

Avançado

DenyUsers root admin

# Usuários bloqueados

Avançado

MaxAuthTries 3

# Tentativas máximas

Avançado

MaxSessions 2

# Sessões simultâneas

📋Timeout e Segurança

Avançado

ClientAliveInterval 300

# Keep-alive 5min

Avançado

ClientAliveCountMax 2

# Desconecta inativos

Avançado

LoginGraceTime 60

# Tempo de login

Avançado

UsePAM yes

# Autenticação PAM

📋Fail2Ban Integration

Avançado

sudo apt install fail2ban

Instala fail2ban

Avançado

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Copia config

Avançado

sudo nano /etc/fail2ban/jail.local

Configura

Avançado

sudo systemctl restart fail2ban

Reinicia serviço

🔐 Testes SSL/TLS

Validar configurações SSL e testar segurança HTTPS

📋Testes de Conectividade

Avançado

openssl s_client -connect example.com:443

# Conexão SSL

Avançado

openssl s_client -connect example.com:443 -servername example.com

# SNI

Avançado

echo | openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -dates

# Validade cert

Avançado

openssl s_client -connect example.com:443 -showcerts

# Mostra cadeia

📋Verificação de Segurança

Avançado

nmap --script ssl-enum-ciphers -p 443 example.com

# Ciphers suportados

Avançado

testssl.sh https://example.com

# Teste completo

Avançado

curl -I https://example.com

# Headers HTTPS

Avançado

curl -v --insecure https://example.com

# Debug SSL

📋Configuração Web Server

Avançado

sudo a2enmod ssl

# Apache SSL

Avançado

sudo a2ensite default-ssl

# Habilita site SSL

Avançado

sudo nginx -t

# Testa config Nginx

Avançado

sudo systemctl reload nginx

# Recarrega Nginx

📋 Security Auditing

Monitorar atividades suspeitas e investigar incidentes

📋Logs de Segurança

Avançado

sudo tail -f /var/log/auth.log

# Logs de autenticação

Avançado

sudo tail -f /var/log/secure

# Logs CentOS/RHEL

Avançado

sudo journalctl -u sshd -f

# Logs SSH systemd

Avançado

sudo grep "Failed password" /var/log/auth.log

# Falhas de login

📋Análise de Logs

Avançado

sudo lastb

# Logins falhos

Avançado

sudo last

# Últimos logins

Avançado

sudo lastlog

# Último login por usuário

Avançado

sudo ausearch -k USER_LOGIN

# Auditoria auditd

📋Monitoramento em Tempo Real

Avançado

sudo auditctl -w /etc/passwd -p wa -k passwd_changes

# Monitora passwd

Avançado

sudo auditctl -w /etc/shadow -p wa -k shadow_changes

# Monitora shadow

Avançado

sudo ausearch -k passwd_changes

# Busca eventos

Avançado

sudo aureport -m

# Relatório de modificações

📋Integridade de Arquivos

Avançado

sudo apt install aide

# Instala AIDE

Avançado

sudo aide --init

# Inicializa banco

Avançado

sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

# Ativa banco

Avançado

sudo aide --check

# Verifica integridade

Avançado

sudo aide --update

# Atualiza banco

📋Permissões e SUID

Avançado

find / -perm -4000 -type f

# Arquivos SUID

Avançado

find / -perm -2000 -type f

# Arquivos SGID

Avançado

find / -type f -perm /6000 -ls

# SUID/SGID detalhado

Avançado

find / -writable -type f ! -path "/proc/*" ! -path "/sys/*"

# Arquivos graváveis

🔐 Encryption Tools

Proteger dados sensíveis com criptografia forte

📋GPG - Gerar Chaves

Avançado

gpg --full-generate-key

# Gera par de chaves

Avançado

gpg --list-keys

# Lista chaves públicas

Avançado

gpg --list-secret-keys

# Lista chaves privadas

Avançado

gpg --armor --export user@email.com

# Exporta pública

Avançado

gpg --armor --export-secret-keys user@email.com

# Exporta privada

📋Criptografar e Descriptografar

Avançado

gpg --encrypt --recipient user@email.com file.txt

# Criptografa

Avançado

gpg --decrypt file.txt.gpg

# Descriptografa

Avançado

gpg --sign file.txt

# Assina arquivo

Avançado

gpg --verify file.txt.sig

# Verifica assinatura

Avançado

gpg --symmetric file.txt

# Criptografia simétrica

📋Gerenciamento de Chaves

Avançado

gpg --import public.key

# Importa chave

Avançado

gpg --delete-key user@email.com

# Remove pública

Avançado

gpg --delete-secret-key user@email.com

# Remove privada

Avançado

gpg --edit-key user@email.com

# Edita chave

📋OpenSSL Crypto

Avançado

openssl enc -aes-256-cbc -in file.txt -out file.enc

# Criptografa AES

Avançado

openssl enc -d -aes-256-cbc -in file.enc -out file.txt

# Descriptografa

Avançado

openssl dgst -sha256 file.txt

# Hash SHA256

Avançado

openssl rsautl -encrypt -pubin -inkey public.pem -in data.txt -out encrypted.dat

# RSA encrypt

📋Hash e Verificação

Avançado

sha256sum file.txt

# Hash SHA256

Avançado

sha512sum file.txt

# Hash SHA512

Avançado

md5sum file.txt

# Hash MD5

Avançado

sha256sum *.txt > checksums.txt

# Gera checksums

Avançado

sha256sum -c checksums.txt

# Verifica integridade

🛡️ iptables Avançado

Configurar firewall granular e proteção contra ataques

📋Regras Básicas

Avançado

sudo iptables -L

# Lista regras

Avançado

sudo iptables -L -n -v

# Lista detalhada

Avançado

sudo iptables -F

# Limpa regras

Avançado

sudo iptables -X

# Remove chains

Avançado

sudo iptables -P INPUT DROP

# Política padrão

📋Regras de Entrada

Avançado

sudo iptables -A INPUT -i lo -j ACCEPT

# Aceita localhost

Avançado

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Conexões estabelecidas

Avançado

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Permite SSH

Avançado

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Permite HTTP

Avançado

sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Permite HTTPS

📋Proteção e Logging

Avançado

sudo iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables: "

# Logging limitado

Avançado

sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --set

# Track SSH

Avançado

sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

# Proteção brute force

Avançado

sudo iptables-save > /etc/iptables/rules.v4

# Salva regras

🤝 Contribuindo

Encontrou um erro? Quer melhorar um cheatsheet? Tem uma sugestão? Adoraríamos suas contribuições! Abra uma issue ou submeta um PR.

Gostou do projeto? Apoie o desenvolvimento com um café e ajude a manter tudo open source ☕

Contribuir no GitHub ☕ Apoiar o Projeto