Conecte Sophos Firewall via SSH
Para muitas tarefas de suporte e solução de problemas, você precisa acessar o Sophos Firewall via SSH. Isso inclui, por exemplo, análises de log, reinicializações de serviços, comandos especiais de diagnóstico ou trabalho no Advanced Shell.
Mas SSH também é um acesso de gerenciamento de alto risco. Portanto, o acesso só deve ser permitido a partir de redes administrativas confiáveis, por meio de uma regra de exceção Local Service ACL direcionada ou por meio de acesso de suporte claramente definido. Para proteção geral de serviços de firewall locais, Configurar Device Access corretamente também é adequado.
Requisitos
Para uma conexão SSH ao Sophos Firewall você precisa:
- Acesso administrativo ao Sophos Firewall.
- O endereço IP ou nome DNS do firewall.
- Acesso ao usuário
admin. - Uma fonte de administração confiável, por exemplo, rede de gerenciamento, VPN ou IP de administração fixo.
- No macOS ou Linux: o aplicativo Terminal pré-instalado com SSH.
- No Windows: Terminal Windows com OpenSSH ou PuTTY.
- Acesso SSH permitido sob Administration > Device access ou por meio de uma regra de exceção de ACL de serviço local.
- Para alterações planejadas no Advanced Shell: backup, janela de manutenção e caminho de reversão limpo.
⚠️ SSH só deve ser permitido em redes confiáveis. Para ambientes produtivos, é melhor restringir o acesso a um IP de gerenciamento ou rede administrativa em vez de liberar SSH de forma geral.
Esclareça antecipadamente para que serve SSH
Nem toda análise precisa do Advanced Shell. Antes de fazer login, deve ficar claro qual console é necessário e qual a gravidade da intervenção.
- Roteamento, DNS, Ping, comandos simples do sistema: Device Console. Sophos CLI, menos arriscado que o Advanced Shell.
- Ler arquivos de log,
tail,grep,less: Advanced Shell. Somente leitura, não modifique ou exclua arquivos. - Verifique o status do serviço ou depure: Advanced Shell. Apenas ative especificamente a depuração e desative-a novamente.
- Execute comandos desconhecidos: Verifique primeiro ou abra um caso de suporte. Não tente no sistema de produção.
A distinção é importante porque Device Console e Advanced Shell usam sintaxe diferente. Muitos erros ocorrem simplesmente porque um comando correto foi digitado no lugar errado. Uma visão geral mais ampla está disponível em Solução de problemas de Sophos Firewall: Services e registros.
SSH Permitir acesso no firewall
Para que uma conexão seja possível, o Sophos Firewall deve permitir SSH na zona apropriada ou por meio de uma regra de exceção Local Service ACL.
- Faça login no Web Admin do Sophos Firewall.
- Abra Administração.
- Selecione Device access.
- Verifique se SSH é permitido para a zona desejada.
Para redes de administração interna, SSH pode ser ativado diretamente para a zona apropriada, por exemplo, para LAN. Se o acesso for restrito mais especificamente, uma regra de exceção de ACL de serviço local faz sentido.
Device Access controla o acesso ao próprio firewall. Isso não é o mesmo que uma regra de firewall normal que permite o tráfego através do firewall. Se SSH em Device Access estiver ativado de forma muito ampla, um cliente alcançará o serviço SSH local do firewall, independentemente de uma regra clássica de LAN a WAN ter sido construída de forma limpa.
No caso de uma exceção ACL, os valores devem ser definidos da forma mais restrita possível:
- Zona de origem: a zona a partir da qual a administração ocorre
- Rede de origem/host: o IP do administrador ou rede de gerenciamento
- Services: SSH
- Ação: Aceitar

SSH não deve ser acessível de forma descontrolada pela Internet. Se o acesso externo for necessário, isso só deverá ser permitido através de um IP de origem claramente definido, VPN ou acesso de suporte dedicado.
Armazene chave pública para administrador
Para acesso SSH, a autenticação de chave pública é o método preferido. No Sophos Firewall, a chave pública do usuário admin pode ser armazenada em Administration > Device access. O login com senha pode ser necessário para emergências, mas não deve continuar sendo o acesso padrão mais conveniente.
⚠️ O login SSH no Sophos Firewall só é possível com o usuário
admin. Outros usuários WebAdmin não podem fazer login via SSH.
Importante: Somente o administrador padrão pode alterar a autenticação de chave pública para SSH, ou seja, adicionar ou remover chaves. Para operações, isso significa: As principais alterações pertencem a um processo administrativo documentado e não devem ser tratadas como um atalho de suporte espontâneo.
A chave pública é adicionada na área Autenticação de chave pública para administrador:
- Abra Administração.
- Selecione Device access.
- Vá até a área Autenticação de chave pública para administrador.
- Ative Ativar autenticação.
- Adicione a chave pública em Authorized keys.
- Salve com Aplicar.

A chave privada sempre permanece no cliente administrador e não pode ser compartilhada. Apenas a chave pública é armazenada no firewall.
Se vários administradores usarem SSH, a mesma chave privada não deverá ser compartilhada. É melhor ter clientes administradores separados, chaves públicas documentadas e uma revisão de quais chaves ainda são necessárias. Após mudanças de pessoal ou prestadores de serviços, a área Authorized keys deverá ser verificada.
Tipos de chave SSH suportados
Nem todo tipo de chave SSH moderno é igualmente adequado para Sophos Firewall. Antes de implementar, você deve verificar se o tipo de chave é compatível.
- RSA: Use pelo menos 2.048 bits.
- DSA: Pelo menos 2.048 bits, se necessário por motivos de compatibilidade.
- ECDSA: Suportes; ED25519 não é aceito para esta finalidade.
- ED25519: Para SSH Public Key Authentication não use em Sophos Firewall.
Para novo acesso de administrador, uma chave RSA gerenciada adequadamente ou uma chave ECDSA compatível geralmente é mais pragmática do que um tipo de chave moderno que o firewall ou uma ferramenta SSH mais antiga não aceita.
Conecte-se ao macOS ou Linux
Um cliente SSH geralmente já está presente no macOS e no Linux. A conexão é estabelecida no terminal.
Exemplo:
ssh admin@192.0.2.1
192.0.2.1 é substituído pelo endereço IP ou nome DNS do seu próprio Sophos Firewall.
Quando a conexão é estabelecida pela primeira vez, o cliente SSH pergunta se a impressão digital do sistema de destino deve ser aceita. Esta impressão digital deve ser verificada e depois confirmada. Se um aviso sobre uma chave de host alterada aparecer após uma nova imagem, substituição de hardware ou alteração de IP, a nova impressão digital não deve ser aceita cegamente. Primeiro verifique se o mesmo firewall foi realmente substituído, reinstalado ou movido para um novo IP. Só então a entrada antiga em ~/.ssh/known_hosts poderá ser limpa e a nova impressão digital aceita.
Dependendo da configuração, então é solicitada a senha do usuário admin ou o login é realizado através da chave SSH armazenada.
Se uma chave privada específica deve ser usada:
ssh -i ~/.ssh/sophos-admin-key admin@192.0.2.1
Para acesso recorrente, o caminho da chave, o IP de origem permitido e a finalidade devem ser documentados. The known_hosts entry should not be copied into tickets or chat histories; Para avisos de chave do host, o histórico de alterações é mais importante do que uma solução alternativa rápida.
Conecte-se a PuTTY
No Windows você pode usar o Windows Terminal com OpenSSH ou usar PuTTY.
Com o Windows Terminal, estabelecer uma conexão funciona de forma semelhante ao macOS ou Linux:
ssh admin@192.0.2.1
Para PuTTY:
- Abra PuTTY.
- Insira o endereço IP ou nome DNS do Sophos Firewall em Nome do host.
- Defina Porta como
22. - Defina Tipo de conexão como SSH.
- Conecte-se com Abrir.
- Verifique e confirme a impressão digital SSH.
- Log in as user
adminand use password or SSH key depending on the configuration.
Após o login, o menu do console Sophos Firewall aparece.
Se PuTTY for usado com uma chave privada, a chave deverá corresponder à chave pública armazenada no firewall. After a change in personnel or service provider, not only the password should be changed; chaves públicas antigas também devem ser removidas de Authorized keys.
Abra Device Console ou Advanced Shell
Após o login bem-sucedido via SSH, o firewall exibe um menu do console. A opção que você escolher depende do que você deseja fazer.
Para muitos comandos SFOS você usa:
4. Device Console
Para tarefas mais profundas do Linux ou do sistema de arquivos, use o Advanced Shell por meio de:
5. Device Management > Advanced Shell
O Advanced Shell oferece acesso muito amplo ao sistema. Os comandos só devem ser executados lá se estiver claro o que eles fazem.
- Device Console:
ping,dnslookup,traceroute,show, roteamento ou opções de sistema. - Advanced Shell: Leia
/log,tail -f,grep,less,service -S, registros de depuração.
Para análise de logs, nomes de serviços e padrões de erros típicos, Solução de problemas Sophos Firewall: Services e logs é um ponto de partida melhor do que memorizar comandos individuais.
Terminar conexão
Quando o trabalho for concluído, a sessão SSH deverá sair corretamente:
exit
Se você estiver em um submenu, pode ser necessário primeiro voltar ao menu principal e depois encerrar a sessão.
Se SSH tiver sido ativado apenas temporariamente para um caso de suporte, a versão deverá ser removida ou desativada. Isso é especialmente verdadeiro para exceções de ACL provenientes de endereços IP de origem externa ou de acesso de provedor de serviços.
Após intervenções profundas, também deve ser verificado o seguinte:- A depuração está desativada novamente?
- Uma regra de exceção temporária de ACL foi removida ou desativada?
- Não foram deixados arquivos temporários, dumps de suporte ou gravações desnecessariamente no firewall?
- As extrações de log, horário, comando e resultado estão documentados no ticket ou alteração?
- A chave SSH foi usada apenas para acesso agendado de administração ou suporte?
Problemas comuns
Conexão recusada
Se a conexão for rejeitada, SSH geralmente não será permitido no firewall da zona ou origem selecionada. Neste caso, Administration > Device access deve ser verificado. Além disso, verifique se uma regra de exceção de ACL permite a origem ou se uma liberação mais ampla de acesso ao dispositivo foi removida deliberadamente.
A conexão expira
Um tempo limite geralmente indica que o firewall não pode ser acessado por meio do endereço IP selecionado, que falta uma rota ou que um firewall upstream está bloqueando o acesso.
Falha no login
Caso o login falhe, deverá ser verificado o usuário admin, a senha ou a chave SSH e as redes de origem permitidas. Mensagens típicas como Permission denied (publickey,password) indicam uma senha incorreta, uma chave privada incorreta ou uma configuração de chave pública ausente.
Se o login da chave pública falhar, verifique adicionalmente o tipo de chave, o comprimento da chave, a chave privada incorreta, o formato da chave PuTTY e a entrada em Authorized keys. Um serviço SSH permitido corretamente não ajuda se a chave não corresponder à chave pública armazenada.
O aviso da chave do host é exibido
Um aviso de chave de host pode ser inofensivo se um firewall tiver sido reinstalado ou substituído. O aviso também pode indicar um sistema de destino incorreto ou uma confusão de endereços IP. Portanto, primeiro verifique o firewall, endereço IP, DNS e histórico de alterações. Só então a entrada known_hosts antiga deve ser removida.
Console errado aberto
Se um comando não for reconhecido, o console errado geralmente será aberto. Comandos como system ... geralmente pertencem ao Device Console. Sistema de arquivos e comandos de log como tail, grep, less ou service -S pertencem ao Advanced Shell.
Lista de verificação operacional
- Permitir SSH apenas de fontes administrativas confiáveis.
- Se possível, use a regra de exceção Local Service ACL em vez da liberação de zona ampla.
- Prefira Public Key Authentication a
admin. - Use o tipo de chave compatível e o comprimento da chave do documento.
- Não compartilhe chaves privadas.
- Verifique a impressão digital SSH no primeiro login.
- Lide conscientemente com avisos de chave do host após recriação de imagem ou substituição de hardware.
- Não confunda Device Console e Advanced Shell.
- Faça alterações no Advanced Shell apenas com um propósito claro.
- Remova versões temporárias do SSH após casos de suporte.
- Exclua chaves públicas antigas após mudar de pessoal ou de prestador de serviço.
Perguntas frequentes
Qual usuário é usado para SSH no Sophos Firewall?
admin em Sophos Firewall. Usuários normais do WebAdmin, mesmo com direitos administrativos, não efetuam login como seus próprios usuários do SSH.