Porta 22 (SSH): o que é, como testar e como alterar

A porta 22 é o canal padrão do SSH — é por ela que você acessa e administra um servidor remotamente. Quando você digita ssh usuario@servidor, é na porta 22 que a conexão bate, mesmo sem você digitar o número em lugar nenhum.

Ela também tem uma segunda característica, menos agradável: é uma das portas mais atacadas da internet. Como todo mundo sabe que o SSH mora ali, bots varrem a internet inteira tentando adivinhar senhas na 22, o dia todo. Este guia explica o que é a porta 22, como testar se ela está aberta, como alterá-la com segurança — e, principalmente, se alterar realmente adianta.

Resposta rápida

A porta 22 (TCP) é a porta padrão do SSH, reservada pela IANA para o protocolo. É por ela que passam o acesso remoto por terminal, o SCP e o SFTP — os três usam a mesma porta. Para testar se está aberta: Test-NetConnection servidor -Port 22 no Windows, ou nc -zv servidor 22 no Mac e Linux. Para conectar em outra porta, use ssh -p 2222 usuario@servidor.

O que é a porta 22

Toda comunicação na internet acontece entre um endereço IP e uma porta — um número que identifica qual serviço daquela máquina deve atender a conexão. O IP diz em qual servidor bater; a porta diz em qual sala.

A porta 22, no protocolo TCP, é a sala do SSH (Secure Shell). É nela que o servidor mantém um programa escutando — o sshd — à espera de conexões de administração remota. Quando você roda ssh usuario@servidor, o cliente assume a 22 automaticamente, por isso você nunca precisa digitá-la.

Se você ainda não sabe o que é o SSH ou como se conectar, comece pelo guia completo de SSH: o que é, como funciona e como usar. Este artigo aqui é sobre a porta — o canal por onde ele passa.

Por que 22?

O número não foi escolhido ao acaso. As portas de 0 a 1023 são as chamadas portas bem conhecidas (well-known ports), reservadas pela IANA — a autoridade que coordena os números da internet — para serviços padronizados.

Quando Tatu Ylönen criou o SSH em 1995, na Finlândia, ele pediu à IANA um número. E a escolha teve uma lógica bonita: o SSH nasceu para substituir o Telnet (porta 23) e o rlogin (porta 513), protocolos que transmitiam senhas em texto puro. A porta 21 era do FTP e a 23 do Telnet — a 22 estava livre, exatamente entre as duas. O SSH ficou com ela e nunca mais saiu.

O que passa pela porta 22 (mais do que você imagina)

Aqui está um ponto que confunde muita gente: não é só o terminal que usa a porta 22.

Como o SCP e o SFTP são construídos em cima do SSH, eles usam a mesma porta 22 — não têm porta própria. Isso tem duas consequências práticas:

  • Se você alterar a porta do SSH, o SFTP e o SCP mudam junto. Seu cliente de FTP precisará ser reconfigurado para a porta nova.
  • Se a porta 22 estiver bloqueada, nada disso funciona: nem terminal, nem transferência de arquivo, nem túnel.

Vale não confundir com o FTP tradicional, que é outro protocolo, em outra porta (21), e sem criptografia — a comparação completa está no guia de FTP, SFTP e FTPS.

Como testar se a porta 22 está aberta

De fora, a partir do seu computador, para saber se você consegue alcançar o servidor:

Windows (PowerShell): Test-NetConnection 192.168.0.10 -Port 22 Mac / Linux: nc -zv 192.168.0.10 22

No Windows, TcpTestSucceeded: True significa que a porta respondeu. No Mac e Linux, a mensagem succeeded! indica o mesmo.

De dentro do servidor, para confirmar que o SSH está mesmo escutando:

sudo ss -tlnp | grep ssh sudo systemctl status sshd

O primeiro comando lista quem está escutando e em qual porta; o segundo mostra se o serviço está ativo.

A distinção que resolve metade dos casos:

  • Connection refused — a porta está acessível, mas ninguém atende. O SSH está parado, ou escutando em outra porta.
  • Connection timed out — a conexão nem chegou. Um firewall está barrando no caminho, ou o IP está errado.

São diagnósticos opostos: o primeiro é problema no servidor, o segundo é problema na rede. Se o seu caso é o timeout, o guia de ERR_CONNECTION_TIMED_OUT detalha a lógica desse erro.

A porta 22 é o alvo número 1 da internet

Não é exagero retórico. Suba um servidor novo, com IP público e SSH na porta 22, e em poucos minutos o log já registra tentativas de login que você não fez.

O motivo é simples: como a 22 é padrão universal, bots varrem faixas inteiras de IP testando-a e, ao encontrar uma aberta, começam a tentar combinações de usuário e senha — quase sempre começando por root. É totalmente automatizado, não é pessoal, e não para nunca.

Por isso o acesso como root direto deve ser desabilitado: é o usuário que os bots tentam primeiro, e o que dá poder total sobre a máquina.

Como alterar a porta padrão do SSH

Trocar a 22 por outro número faz os bots que varrem só a porta padrão errarem o alvo. Veja como.

1. Escolha a porta nova. Use um número acima de 1024 (abaixo disso é território reservado) e que não esteja em uso por outro serviço. Números como 2222 são comuns — e, justamente por serem comuns, já são varridos também. Um número menos óbvio é melhor.

2. Edite a configuração do SSH:

sudo nano /etc/ssh/sshd_config

Procure a linha #Port 22, remova o # e troque o número:

Port 2222

3. Libere a porta no firewall — antes de reiniciar. Este passo é o que separa uma mudança tranquila de um servidor inacessível:

sudo ufw allow 2222/tcp # Ubuntu/Debian sudo firewall-cmd --permanent --add-port=2222/tcp && sudo firewall-cmd --reload # CentOS/Rocky

Se o seu servidor for um VPS em nuvem, verifique também o firewall do painel do provedor — muitos têm uma camada própria, fora do sistema operacional.

4. Reinicie o serviço:

sudo systemctl restart sshd

5. Teste na porta nova, com a sessão atual ainda aberta:

ssh -p 2222 usuario@servidor
⚠️ Nunca feche a sessão atual antes de testar

É o erro clássico, e ele tranca você para fora do próprio servidor: a pessoa altera a porta, reinicia o SSH, fecha o terminal — e descobre que esqueceu de liberar a porta no firewall. Sem acesso, não há como voltar atrás. Abra um segundo terminal e teste a porta nova enquanto a primeira sessão continua aberta. Só feche a original depois que a nova funcionar. Se algo der errado, você ainda tem a sessão antiga viva para desfazer tudo. Em um VPS, a saída de emergência é o console do painel do provedor, que não depende do SSH.

Alterar a porta realmente protege?

Aqui vale uma resposta honesta, porque a internet costuma vender isso como solução de segurança — e não é bem assim.

Mudar a porta é segurança por obscuridade: você não tornou o servidor mais forte, só o escondeu dos bots preguiçosos. Um atacante determinado roda um scanner de portas e encontra o SSH na 2222 em segundos. Contra ele, a porta nova não vale nada.

O que ela vale de verdade é silêncio: seus logs deixam de ter milhares de tentativas automatizadas por dia, e o que sobra é sinal de verdade — se aparecer uma tentativa na porta nova, ali é alguém procurando você especificamente. É um ganho real, mas de higiene, não de blindagem.

A proteção que importa é outra, e vem em ordem de eficácia:

  • Autenticação por chave, com login por senha desativado. Isso sozinho encerra o problema — sem senha para adivinhar, a força bruta morre. Veja como em SSH com chave remota sem pedir senha.
  • Root desabilitado, forçando usuário comum + sudo.
  • Firewall restringindo a porta a IPs confiáveis, quando possível. Entenda a lógica em o que é firewall.
  • Fail2Ban, que bloqueia automaticamente IPs com tentativas repetidas.

Mudar a porta é o item cinco de uma lista de cinco. Faça os quatro primeiros antes.

Porta 22 e as portas vizinhas

Porta Serviço Criptografia Situação hoje
22 SSH (e SCP/SFTP) Sim Padrão para administração remota
21 FTP Não Em desuso — prefira o SFTP na 22
23 Telnet Não Obsoleto — foi substituído pelo SSH
80 HTTP Não Sites — só redireciona para a 443
443 HTTPS Sim Sites — nada a ver com acesso remoto
3306 MySQL / MariaDB Opcional Banco — acesse por túnel SSH pela 22
587 / 993 SMTP / IMAP Sim E-mail — veja o guia de portas de e-mail

A relação entre a 22 e a 23 conta a história: o Telnet fazia o mesmo trabalho do SSH, mas em texto puro — qualquer um na rede lia a sua senha. O SSH nasceu como resposta, e hoje o Telnet está aposentado. É por isso que “acessar servidor” e “acessar com segurança” viraram a mesma coisa.

Problemas comuns na porta 22

Sintoma Causa provável O que fazer
Connection refused SSH parado ou em outra porta No servidor: systemctl status sshd e ss -tlnp | grep ssh
Connection timed out Firewall barrando no caminho Libere a 22 no firewall do sistema e no do painel do provedor
Funciona nos dados móveis, não no Wi-Fi A rede local bloqueia a 22 Comum em rede corporativa. Use outra porta ou uma VPN
Parou depois que mudei a porta Porta nova não liberada no firewall Entre pelo console do painel do VPS e libere, ou reverta
O SFTP parou de conectar Ele usa a mesma porta do SSH Atualize a porta no cliente de FTP também

Se você tem um VPS e ficou sem acesso, o caminho de volta está em como acessar um servidor VPS. E se prefere conectar por interface gráfica no Windows, veja como acessar o servidor Linux via SSH usando o PuTTY — o campo Port do PuTTY é onde vai o número.

Perguntas frequentes

O que é a porta 22?
É a porta TCP padrão do SSH (Secure Shell), reservada pela IANA para o protocolo. É por ela que o servidor recebe conexões de administração remota — e também as transferências de arquivo por SCP e SFTP, que funcionam sobre o SSH e usam a mesma porta.

Qual porta o SSH usa?
Por padrão, a porta 22 no protocolo TCP. É por isso que o comando ssh usuario@servidor funciona sem você informar número nenhum: o cliente assume a 22. Se o servidor usar outra porta, informe com a opção -p, como em ssh -p 2222 usuario@servidor.

Como saber se a porta 22 está aberta?
Do seu computador, use Test-NetConnection servidor -Port 22 no PowerShell do Windows, ou nc -zv servidor 22 no Mac e Linux. De dentro do servidor, sudo ss -tlnp | grep ssh mostra se o SSH está escutando e em qual porta.

Como alterar a porta do SSH?
Edite o arquivo /etc/ssh/sshd_config, descomente a linha Port 22 e troque pelo número desejado (acima de 1024). Libere a porta nova no firewall antes de reiniciar o serviço com sudo systemctl restart sshd. Teste a conexão nova mantendo a sessão atual aberta, para não ficar trancado para fora.

Mudar a porta do SSH deixa o servidor mais seguro?
Só um pouco, e não da forma que se imagina. É segurança por obscuridade: você escapa dos bots que varrem apenas a porta padrão, o que limpa bastante os logs, mas um atacante determinado encontra a porta nova com um scanner em segundos. A proteção real vem de usar chaves SSH com o login por senha desativado, desabilitar o root e restringir o acesso por firewall.

Por que recebo tentativas de login na porta 22 sem ter feito nada?
Porque a porta 22 é varrida constantemente por bots automatizados que procuram servidores com SSH exposto e tentam adivinhar senhas — quase sempre começando pelo usuário root. Não é um ataque pessoal, é rotina da internet. Autenticação por chave e Fail2Ban resolvem.

Qual a diferença entre a porta 21 e a porta 22?
A porta 21 é do FTP, um protocolo antigo de transferência de arquivos sem criptografia. A 22 é do SSH, e é por ela que passa o SFTP — a alternativa segura ao FTP. Na prática: se você pode usar o SFTP na 22, não há motivo para usar o FTP na 21.

Recebo “Connection refused” na porta 22. O que significa?
Significa que a conexão chegou ao servidor mas ninguém atendeu: o serviço SSH está parado ou escutando em outra porta. É diferente do “Connection timed out”, em que a conexão nem chega — aí a causa costuma ser um firewall bloqueando no caminho.

Acesso root ao seu próprio servidor

Com um VPS da Homehost você tem acesso SSH completo, console de emergência no painel para quando algo der errado e suporte em português para configurar tudo com segurança.

Conhecer os servidores VPS

Conclusão

A porta 22 é a porta de entrada do seu servidor — e, por ser a mesma para todo mundo, também a mais vigiada por quem não deveria estar olhando. Vale guardar três coisas: o SFTP e o SCP passam por ela também, então mexer na porta afeta as transferências de arquivo; a distinção entre refused (o SSH está parado) e timed out (o firewall está barrando) resolve quase todo diagnóstico; e mudar a porta limpa os logs, mas não blinda nada — quem blinda é a autenticação por chave, com o login por senha desativado. Faça isso primeiro; a porta nova é só o bônus.

Este artigo foi útil?

Obrigado pela resposta!
Picture of Gustavo Gallas

Gustavo Gallas

Analista de sistemas, formado pela PUC-Rio. Programador, gestor de redes e diretor da empresa Homehost. Pai do Bóris, seu pet de estimação. Gosta de rock'n'roll, cerveja artesanal e de escrever sobre assuntos técnicos.

Contato: gustavo.blog@homehost.com.br

Ganhe 30% OFF

Indique seu nome e e-mail,e ganhe um cupom de desconto de 30% para sempre na Homehost!