A porta 22 é o canal padrão do SSH — é por ela que você acessa e administra um servidor remotamente. Quando você digita ssh usuario@servidor, é na porta 22 que a conexão bate, mesmo sem você digitar o número em lugar nenhum.
Ela também tem uma segunda característica, menos agradável: é uma das portas mais atacadas da internet. Como todo mundo sabe que o SSH mora ali, bots varrem a internet inteira tentando adivinhar senhas na 22, o dia todo. Este guia explica o que é a porta 22, como testar se ela está aberta, como alterá-la com segurança — e, principalmente, se alterar realmente adianta.
A porta 22 (TCP) é a porta padrão do SSH, reservada pela IANA para o protocolo. É por ela que passam o acesso remoto por terminal, o SCP e o SFTP — os três usam a mesma porta. Para testar se está aberta: Test-NetConnection servidor -Port 22 no Windows, ou nc -zv servidor 22 no Mac e Linux. Para conectar em outra porta, use ssh -p 2222 usuario@servidor.
O que é a porta 22
Toda comunicação na internet acontece entre um endereço IP e uma porta — um número que identifica qual serviço daquela máquina deve atender a conexão. O IP diz em qual servidor bater; a porta diz em qual sala.
A porta 22, no protocolo TCP, é a sala do SSH (Secure Shell). É nela que o servidor mantém um programa escutando — o sshd — à espera de conexões de administração remota. Quando você roda ssh usuario@servidor, o cliente assume a 22 automaticamente, por isso você nunca precisa digitá-la.
Se você ainda não sabe o que é o SSH ou como se conectar, comece pelo guia completo de SSH: o que é, como funciona e como usar. Este artigo aqui é sobre a porta — o canal por onde ele passa.
Por que 22?
O número não foi escolhido ao acaso. As portas de 0 a 1023 são as chamadas portas bem conhecidas (well-known ports), reservadas pela IANA — a autoridade que coordena os números da internet — para serviços padronizados.
Quando Tatu Ylönen criou o SSH em 1995, na Finlândia, ele pediu à IANA um número. E a escolha teve uma lógica bonita: o SSH nasceu para substituir o Telnet (porta 23) e o rlogin (porta 513), protocolos que transmitiam senhas em texto puro. A porta 21 era do FTP e a 23 do Telnet — a 22 estava livre, exatamente entre as duas. O SSH ficou com ela e nunca mais saiu.
O que passa pela porta 22 (mais do que você imagina)
Aqui está um ponto que confunde muita gente: não é só o terminal que usa a porta 22.
Como o SCP e o SFTP são construídos em cima do SSH, eles usam a mesma porta 22 — não têm porta própria. Isso tem duas consequências práticas:
- Se você alterar a porta do SSH, o SFTP e o SCP mudam junto. Seu cliente de FTP precisará ser reconfigurado para a porta nova.
- Se a porta 22 estiver bloqueada, nada disso funciona: nem terminal, nem transferência de arquivo, nem túnel.
Vale não confundir com o FTP tradicional, que é outro protocolo, em outra porta (21), e sem criptografia — a comparação completa está no guia de FTP, SFTP e FTPS.
Como testar se a porta 22 está aberta
De fora, a partir do seu computador, para saber se você consegue alcançar o servidor:
Windows (PowerShell): Test-NetConnection 192.168.0.10 -Port 22
Mac / Linux: nc -zv 192.168.0.10 22 No Windows, TcpTestSucceeded: True significa que a porta respondeu. No Mac e Linux, a mensagem succeeded! indica o mesmo.
De dentro do servidor, para confirmar que o SSH está mesmo escutando:
sudo ss -tlnp | grep ssh
sudo systemctl status sshd O primeiro comando lista quem está escutando e em qual porta; o segundo mostra se o serviço está ativo.
A distinção que resolve metade dos casos:
Connection refused— a porta está acessível, mas ninguém atende. O SSH está parado, ou escutando em outra porta.Connection timed out— a conexão nem chegou. Um firewall está barrando no caminho, ou o IP está errado.
São diagnósticos opostos: o primeiro é problema no servidor, o segundo é problema na rede. Se o seu caso é o timeout, o guia de ERR_CONNECTION_TIMED_OUT detalha a lógica desse erro.
A porta 22 é o alvo número 1 da internet
Não é exagero retórico. Suba um servidor novo, com IP público e SSH na porta 22, e em poucos minutos o log já registra tentativas de login que você não fez.
O motivo é simples: como a 22 é padrão universal, bots varrem faixas inteiras de IP testando-a e, ao encontrar uma aberta, começam a tentar combinações de usuário e senha — quase sempre começando por root. É totalmente automatizado, não é pessoal, e não para nunca.
Por isso o acesso como root direto deve ser desabilitado: é o usuário que os bots tentam primeiro, e o que dá poder total sobre a máquina.
Como alterar a porta padrão do SSH
Trocar a 22 por outro número faz os bots que varrem só a porta padrão errarem o alvo. Veja como.
1. Escolha a porta nova. Use um número acima de 1024 (abaixo disso é território reservado) e que não esteja em uso por outro serviço. Números como 2222 são comuns — e, justamente por serem comuns, já são varridos também. Um número menos óbvio é melhor.
2. Edite a configuração do SSH:
sudo nano /etc/ssh/sshd_config Procure a linha #Port 22, remova o # e troque o número:
Port 2222 3. Libere a porta no firewall — antes de reiniciar. Este passo é o que separa uma mudança tranquila de um servidor inacessível:
sudo ufw allow 2222/tcp # Ubuntu/Debian
sudo firewall-cmd --permanent --add-port=2222/tcp && sudo firewall-cmd --reload # CentOS/Rocky Se o seu servidor for um VPS em nuvem, verifique também o firewall do painel do provedor — muitos têm uma camada própria, fora do sistema operacional.
4. Reinicie o serviço:
sudo systemctl restart sshd 5. Teste na porta nova, com a sessão atual ainda aberta:
ssh -p 2222 usuario@servidor É o erro clássico, e ele tranca você para fora do próprio servidor: a pessoa altera a porta, reinicia o SSH, fecha o terminal — e descobre que esqueceu de liberar a porta no firewall. Sem acesso, não há como voltar atrás. Abra um segundo terminal e teste a porta nova enquanto a primeira sessão continua aberta. Só feche a original depois que a nova funcionar. Se algo der errado, você ainda tem a sessão antiga viva para desfazer tudo. Em um VPS, a saída de emergência é o console do painel do provedor, que não depende do SSH.
Alterar a porta realmente protege?
Aqui vale uma resposta honesta, porque a internet costuma vender isso como solução de segurança — e não é bem assim.
Mudar a porta é segurança por obscuridade: você não tornou o servidor mais forte, só o escondeu dos bots preguiçosos. Um atacante determinado roda um scanner de portas e encontra o SSH na 2222 em segundos. Contra ele, a porta nova não vale nada.
O que ela vale de verdade é silêncio: seus logs deixam de ter milhares de tentativas automatizadas por dia, e o que sobra é sinal de verdade — se aparecer uma tentativa na porta nova, ali é alguém procurando você especificamente. É um ganho real, mas de higiene, não de blindagem.
A proteção que importa é outra, e vem em ordem de eficácia:
- Autenticação por chave, com login por senha desativado. Isso sozinho encerra o problema — sem senha para adivinhar, a força bruta morre. Veja como em SSH com chave remota sem pedir senha.
- Root desabilitado, forçando usuário comum +
sudo. - Firewall restringindo a porta a IPs confiáveis, quando possível. Entenda a lógica em o que é firewall.
- Fail2Ban, que bloqueia automaticamente IPs com tentativas repetidas.
Mudar a porta é o item cinco de uma lista de cinco. Faça os quatro primeiros antes.
Porta 22 e as portas vizinhas
| Porta | Serviço | Criptografia | Situação hoje |
|---|---|---|---|
| 22 | SSH (e SCP/SFTP) | Sim | Padrão para administração remota |
| 21 | FTP | Não | Em desuso — prefira o SFTP na 22 |
| 23 | Telnet | Não | Obsoleto — foi substituído pelo SSH |
| 80 | HTTP | Não | Sites — só redireciona para a 443 |
| 443 | HTTPS | Sim | Sites — nada a ver com acesso remoto |
| 3306 | MySQL / MariaDB | Opcional | Banco — acesse por túnel SSH pela 22 |
| 587 / 993 | SMTP / IMAP | Sim | E-mail — veja o guia de portas de e-mail |
A relação entre a 22 e a 23 conta a história: o Telnet fazia o mesmo trabalho do SSH, mas em texto puro — qualquer um na rede lia a sua senha. O SSH nasceu como resposta, e hoje o Telnet está aposentado. É por isso que “acessar servidor” e “acessar com segurança” viraram a mesma coisa.
Problemas comuns na porta 22
| Sintoma | Causa provável | O que fazer |
|---|---|---|
Connection refused | SSH parado ou em outra porta | No servidor: systemctl status sshd e ss -tlnp | grep ssh |
Connection timed out | Firewall barrando no caminho | Libere a 22 no firewall do sistema e no do painel do provedor |
| Funciona nos dados móveis, não no Wi-Fi | A rede local bloqueia a 22 | Comum em rede corporativa. Use outra porta ou uma VPN |
| Parou depois que mudei a porta | Porta nova não liberada no firewall | Entre pelo console do painel do VPS e libere, ou reverta |
| O SFTP parou de conectar | Ele usa a mesma porta do SSH | Atualize a porta no cliente de FTP também |
Se você tem um VPS e ficou sem acesso, o caminho de volta está em como acessar um servidor VPS. E se prefere conectar por interface gráfica no Windows, veja como acessar o servidor Linux via SSH usando o PuTTY — o campo Port do PuTTY é onde vai o número.
Perguntas frequentes
O que é a porta 22?
É a porta TCP padrão do SSH (Secure Shell), reservada pela IANA para o protocolo. É por ela que o servidor recebe conexões de administração remota — e também as transferências de arquivo por SCP e SFTP, que funcionam sobre o SSH e usam a mesma porta.
Qual porta o SSH usa?
Por padrão, a porta 22 no protocolo TCP. É por isso que o comando ssh usuario@servidor funciona sem você informar número nenhum: o cliente assume a 22. Se o servidor usar outra porta, informe com a opção -p, como em ssh -p 2222 usuario@servidor.
Como saber se a porta 22 está aberta?
Do seu computador, use Test-NetConnection servidor -Port 22 no PowerShell do Windows, ou nc -zv servidor 22 no Mac e Linux. De dentro do servidor, sudo ss -tlnp | grep ssh mostra se o SSH está escutando e em qual porta.
Como alterar a porta do SSH?
Edite o arquivo /etc/ssh/sshd_config, descomente a linha Port 22 e troque pelo número desejado (acima de 1024). Libere a porta nova no firewall antes de reiniciar o serviço com sudo systemctl restart sshd. Teste a conexão nova mantendo a sessão atual aberta, para não ficar trancado para fora.
Mudar a porta do SSH deixa o servidor mais seguro?
Só um pouco, e não da forma que se imagina. É segurança por obscuridade: você escapa dos bots que varrem apenas a porta padrão, o que limpa bastante os logs, mas um atacante determinado encontra a porta nova com um scanner em segundos. A proteção real vem de usar chaves SSH com o login por senha desativado, desabilitar o root e restringir o acesso por firewall.
Por que recebo tentativas de login na porta 22 sem ter feito nada?
Porque a porta 22 é varrida constantemente por bots automatizados que procuram servidores com SSH exposto e tentam adivinhar senhas — quase sempre começando pelo usuário root. Não é um ataque pessoal, é rotina da internet. Autenticação por chave e Fail2Ban resolvem.
Qual a diferença entre a porta 21 e a porta 22?
A porta 21 é do FTP, um protocolo antigo de transferência de arquivos sem criptografia. A 22 é do SSH, e é por ela que passa o SFTP — a alternativa segura ao FTP. Na prática: se você pode usar o SFTP na 22, não há motivo para usar o FTP na 21.
Recebo “Connection refused” na porta 22. O que significa?
Significa que a conexão chegou ao servidor mas ninguém atendeu: o serviço SSH está parado ou escutando em outra porta. É diferente do “Connection timed out”, em que a conexão nem chega — aí a causa costuma ser um firewall bloqueando no caminho.
Com um VPS da Homehost você tem acesso SSH completo, console de emergência no painel para quando algo der errado e suporte em português para configurar tudo com segurança.
Conhecer os servidores VPSConclusão
A porta 22 é a porta de entrada do seu servidor — e, por ser a mesma para todo mundo, também a mais vigiada por quem não deveria estar olhando. Vale guardar três coisas: o SFTP e o SCP passam por ela também, então mexer na porta afeta as transferências de arquivo; a distinção entre refused (o SSH está parado) e timed out (o firewall está barrando) resolve quase todo diagnóstico; e mudar a porta limpa os logs, mas não blinda nada — quem blinda é a autenticação por chave, com o login por senha desativado. Faça isso primeiro; a porta nova é só o bônus.