Como Configurar Servidor FTP Seguro para Backups

10 min de leitura Infraestrutura
Como Configurar Servidor FTP Seguro para Backups

Introdução

No cenário atual de gestão de infraestrutura, a disponibilidade dos dados é o pilar central de qualquer operação digital. Para donos de PMEs e profissionais de TI, a perda de arquivos críticos por falhas de hardware ou ataques de ransomware pode ser catastrófica. É aqui que a automação de backups entra como uma camada indispensável de proteção.

Configurar um servidor FTP (File Transfer Protocol) dedicado para esta finalidade permite centralizar seus arquivos de backup em um ambiente isolado da sua aplicação principal. Ao automatizar este processo, você elimina o erro humano e garante que as rotinas de cópia ocorram em horários de baixa carga no servidor, mantendo a integridade da sua infraestrutura.

Neste tutorial da Toda Solução, você aprenderá a configurar um servidor FTP robusto, focado em automação. Vamos abordar desde a instalação do serviço até as camadas de segurança necessárias para garantir que apenas processos autorizados tenham acesso aos seus dados. Ao final, você terá um fluxo de trabalho pronto para receber transferências automáticas de forma segura e eficiente.

Pré-requisitos

Para garantir que a configuração do servidor FTP para automação de backups ocorra sem interrupções e com o nível de segurança necessário, você deve atender aos seguintes requisitos técnicos antes de iniciar o procedimento:

  • Acesso Root/Sudo: Você precisará de privilégios de superusuário no servidor de destino (Linux) para instalar pacotes e editar arquivos de configuração do sistema.
  • Servidor Linux Atualizado: Recomenda-se uma distribuição estável, como Ubuntu 22.04 LTS ou Debian 11/12, com todos os repositórios atualizados.
  • Conectividade de Rede: Certifique-se de que as portas necessárias para o protocolo FTP e FTP Seguro (SFTP/FTPS) estejam liberadas no seu firewall (UFW, iptables ou Security Groups da sua Cloud). As portas padrão são a 21 (controle) e um intervalo definido para o modo passivo.
  • Espaço em Disco: Verifique se o volume destinado ao armazenamento dos backups possui capacidade suficiente para comportar o volume de dados da sua infraestrutura atual.
  • Ferramentas de CLI: Conhecimento básico em terminal Linux e ferramentas como ssh, vsftpd e openssl instaladas.

Aviso de Risco: A abertura incorreta de portas ou o uso de protocolos sem criptografia pode expor seus dados de backup a interceptações maliciosas. Sempre utilize FTPS ou SFTP para proteger a integridade dos seus arquivos.

Configuração do Servidor

Para este tutorial, utilizaremos o vsftpd (Very Secure FTP Daemon), que é o padrão de mercado para servidores Linux devido à sua leveza e robustez. Siga os passos abaixo para instalação e configuração inicial:

  1. Instalação do serviço: Atualize os repositórios e instale o pacote via terminal: 
    sudo apt update && sudo apt install vsftpd -y
  2. Configuração do arquivo principal: Aceste o arquivo de configuração para definir as permissões de escrita e isolamento de usuários: 
    sudo nano /etc/vsftpd.conf
  3. Ajustes essenciais: Dentro do arquivo, certifique-se de que as seguintes diretivas estejam desmarcadas ou configuradas conforme abaixo:
    • write_enable=YES (Permite o upload de arquivos de backup);
    • local_enable=YES (Permite o acesso de usuários locais do sistema);
    • chroot_local_user=YES (Impede que o usuário de backup navegue por pastas do sistema fora do diretório permitido).
  4. Criação do usuário de backup: Crie um usuário dedicado para a automação, evitando usar o root: 
    sudo adduser user_backup
  5. Reinicialização do serviço: Aplique as alterações reiniciando o daemon: 
    sudo systemctl restart vsftpd

Configuração de Segurança

Configurar um servidor FTP para automação exige atenção redobrada, pois o protocolo FTP padrão transmite dados e senhas em texto puro, o que é um risco crítico para sua infraestrutura. Para garantir a integridade dos backups, siga estas diretrizes:

  1. Migre para FTPS (FTP over TLS): Utilize o protocolo TLS para criptografar a comunicação. No arquivo de configuração do vsftpd.conf, certifique se de que as seguintes linhas estejam presentes: 
    ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_list_data=YES
  2. Implemente o Chroot Jail: Isso impede que o usuário do backup navegue por outras pastas do servidor, limitando o acesso apenas ao diretório de destino. No arquivo de configuração, utilize: 
    chroot_local_user=YES
allow_writeable_chroot=YES
  3. Restrição de IP (Whitelist): Se o seu servidor de backup possuir um IP fixo, configure o firewall (UFW ou IPTables) para aceitar conexões na porta 21 apenas desse endereço. 
    sudo ufw allow from [IP_DO_SERVIDOR_BACKUP] to any port 21
  4. Desabilite o acesso anônimo: Certifique-se de que a opção anonymous_enable=NO esteja configurada para evitar acessos não autenticados.

Aviso de risco: A configuração incorreta de certificados SSL/TLS pode impedir a conexão do seu script de automação. Sempre teste a conexão manualmente após aplicar as mudanças.

Automação do Backup

Com o servidor FTP configurado e seguro, o próximo passo é eliminar a intervenção manual. Para isso, utilizaremos o Crontab no Linux, que permite agendar a execução de scripts em intervalos definidos.

Siga os passos abaixo para automatizar o envio de uma pasta de backup para o seu servidor remoto:

  1. Crie um script de upload: Utilize o utilitário ncftp ou o clássico ftp. Recomendamos o ncftp por ser mais robusto para automações. Crie um arquivo chamado backup_upload.sh: 
    #!/bin/bash
# Variáveis de configuração
FTP_HOST="seu_servidor_ftp.com.br"
FTP_USER="usuario_backup"
FTP_PASS="sua_senha_segura"
LOCAL_DIR="/var/www/html/backups"
REMOTE_DIR="/destino/backup"

# Comando para upload via ncftp
ncftpput -u $FTP_USER -p $FTP_PASS $FTP_HOST $REMOTE_DIR $LOCAL_DIR/*.tar.gz
  2. Dê permissão de execução: 
    chmod +x backup_upload.sh
  3. Agende no Crontab: Abra o editor de tarefas do sistema: 
    crontab -e
  4. Adicione a rotina: Para realizar o backup todas as noites às 03:00 da manhã, adicione a seguinte linha ao final do arquivo: 
    00 03 * * * /caminho/para/seu/script/backup_upload.sh

Dica de Infraestrutura: Sempre configure o script para remover arquivos locais antigos após o upload bem-sucedido, evitando que o disco do seu servidor principal fique cheio.

Verificação

Após configurar o servidor e a rotina de automação, é fundamental validar se o fluxo de dados está ocorrendo conforme o esperado e se as permissões de escrita estão corretas. Não confie apenas no log de sucesso; realize testes manuais e de integridade.

  1. Teste de Conexão Manual: Utilize um cliente FTP (como o FileZilla) para conectar-se ao servidor usando as mesmas credenciais que o script de automação utilizará. Tente realizar o upload de um arquivo de teste (.txt) para a pasta de destino.
  2. Validação de Escrita: Verifique se o arquivo foi criado no servidor e se o tamanho do arquivo no destino coincide com o arquivo de origem.
  3. Monitoramento de Logs: Acesse o terminal do seu servidor e acompanhe o log do serviço FTP (geralmente o vsftpd) para identificar tentativas de login ou erros de permissão: 
    sudo tail -f /var/log/vsftpd.log
  4. Checagem de Integridade (Checksum): Para backups críticos, execute o comando md5sum tanto no arquivo local quanto no arquivo transferido para garantir que não houve corrupção durante o trânsito: 
    md5sum arquivo_backup.tar.gz

Dica de Especialista: Se o upload falhar, verifique se o firewall do servidor ou do provedor de cloud não está bloqueando a porta configurada (padrão 21 ou a porta customizada para FTPS).

Troubleshooting

Se o seu processo de automação de backup falhar ou apresentar erros de conexão, siga este roteiro de diagnóstico para identificar o gargalo na infraestrutura:

  • Erro de Conexão (Timeout/Connection Refused): Verifique se o firewall do servidor ou da sua rede está bloqueando as portas necessárias. Para FTP padrão, verifique a porta 21; para SFTP, a porta 22. No Linux, você pode testar a conectividade com o comando: 
    nc -zv [IP_DO_SERVIDOR] 21
  • Erro de Autenticação (Permission Denied): Certifique-se de que as credenciais utilizadas no script de automação são as mesmas configuradas no servidor. Verifique também as permissões de escrita no diretório de destino: 
    ls -ld /caminho/do/diretorio/backup
    Se necessário, ajuste o proprietário com chown.
  • Falha no Modo Passivo (Passive Mode): Se a conexão é estabelecida, mas a listagem de arquivos (LIST) falha, o problema geralmente reside no range de portas passivas. Certifique-se de que o range definido no arquivo de configuração do seu servidor FTP (ex: vsftpd.conf) esteja liberado no firewall.
  • Logs do Servidor: O recurso mais importante para diagnóstico é o log de erros. No Linux, verifique os logs do sistema ou do serviço específico: 
    tail -f /var/log/vsftpd.log
    ou 
    tail -f /var/log/auth.log
Compartilhar: Link copiado!
Tags:
Esse tutorial foi útil?

Comentários (0)

Seja o primeiro a comentar.

Deixe seu comentário

Seu comentário será analisado antes de ser publicado.

0/2000
Voltar para Tutoriais