Garagem SecOps v3

Script único para hardening e varreduras de segurança, com alertas por e-mail e/ou webhook. Leve, idempotente e feito pra você rodar e ficar protegido.

Ver passo a passo
curl -fsSL https://www.nagaragem.com/garagem-secops/install.sh | bash

Instalação Simples

Execute o comando abaixo no seu terminal como usuário root:

curl -fsSL https://www.nagaragem.com/garagem-secops/install.sh | bash

O que ele faz por você

Usuário & SSH Key

Cria um usuário admin seguro e chave SSH (ed25519), e endurece as configurações do seu SSH.

Fail2ban Automático

Protege SSH, Nginx, Apache e Traefik contra ataques de força bruta, sem quebrar sua stack Docker.

Scans Agendados

Roda rkhunter, chkrootkit, unhide e checagem de integridade de arquivos em rotinas diárias e semanais.

Alertas Inteligentes

Envia alertas detalhados por e-mail e/ou webhook (n8n) apenas quando algo suspeito for encontrado.

Comandos Pós-Instalação

Controle dos Scans

Rodar scan diário manualmente:

systemctl start secscan-daily.service

Ver timers agendados:

systemctl list-timers | grep secscan
Configurações

Reconfigurar e-mail / webhook:

/usr/local/sbin/garagem-secops-webhook-config.sh

Recriar baseline de integridade:

/usr/local/sbin/secscan-daily.sh --propupd

Perguntas Frequentes

A chave privada é exibida na tela e salva no log de resumo (/root/garagem-secops-log-resumo-*.log) durante a instalação. Salve-a imediatamente, pois ela não é enviada por e-mail ou webhook.

É normal. Após atualizações planejadas, apenas recrie a baseline de integridade para "aceitar" as mudanças com o comando: 
/usr/local/sbin/secscan-daily.sh --propupd

Não. Ele foi projetado para ser o menos intrusivo possível e não mexer nas suas regras de firewall existentes, focando apenas na proteção via Fail2ban e nas varreduras.