Lidar com um servidor Linux algumas vezes pode ser um tanto quanto complicado. Com isto em mente, alterar a porta SSH é um procedimento que deve estar no topo do seu checklist de segurança.

Sabemos que a porta padrão utilizada em conexões SSH é a 22 (assim, ela acaba sendo muito visada). Este elemento por si só acaba se transformando em um risco à segurança do servidor, e caso você não faça alterações, aqui, pode acabar com diversos problemas nas mãos.

Os cibercriminosos não poupam esforços, infelizmente, e seus bots “varrem” a internet em busca de servidores SSH vulneráveis. Utilizar a porta 22 padrão para conexões SSH acaba deixando a máquina bastante vulnerável a vários tipos de ameaças, principalmente os temíveis ataques de força bruta.

Se você deseja ficar fora do alcance deste tipo de ameaça, continue comigo e aprenda a realizar as configurações necessárias para melhor proteger seu servidor.

Vale lembrar que os procedimentos abaixo descritos servem para praticamente qualquer servidor Linux, dentro de um escopo bem grande no tocante às diferentes distribuições.

Do mesmo modo, eles podem ser aplicados a um servidor dedicado, a um VPS e também a um servidor cloud.

Obs: após a conexão SSH, recomendo que você utilize o editor nano (você perceberá o uso do nano ao longo deste guia, quando for necessário editar algum arquivo de configuração). Além de poderoso, este editor open source também é de fácil utilização.

Pré-requisitos

• Acesso root ou sudo ao servidor;

Escolhendo uma nova porta SSH

Você pode escolher qualquer porta entre o intervalo 1024 a 65535, lembrando também que as portas 0 a1023 são reservadas a diversos serviços do sistema.

Assim, perceba que existem milhares de portas disponíveis. Neste tutorial iremos trabalhar com a porta “22333”, mas você pode optar por qualquer outra, desde que o número esteja dentro do intervalo válido descrito acima.

A título de informação, além disso, segue abaixo uma tabela contendo algumas portas muito conhecidas e utilizadas, bem como seus respectivos protocolos e serviços:

Porta	Protocolo	Serviço
20	TCP	FTP – Conexão de dados
21	TCP	FTP
22	TCP	SSH
23	TCP	Telnet
25	TCP	SMTP
53	TCP/UDP	DNS (Domain Name System)
80	TCP	HTTP
110	TCP	POP3
143	TCP	IMAP
443	TCP	HTTPS
993	TCP	IMAP sobre TLS/SSL

Como alterar a porta SSH

Chegou o momento em que você aprenderá todos os passos necessários para realizar este procedimento na íntegra. É tudo muito simples, na verdade.

Conecte-se ao seu servidor Linux através do SSH

Abra seu terminal e utilize um comando como o abaixo (alternativamente, você também pode utilizar um software como o PuTTY):

ssh usuário@IP_do_Servidor

Por exemplo:

ssh [email protected]

Obs: lembre-se sempre de especificar o IP correto do seu servidor Linux.

Agora é importante ressaltar que você deverá, logo em seguida, digitar sua senha de acesso à máquina, conforme o usuário especificado (caso não esteja utilizando chaves SSH, algo que eu, particularmente, recomendo bastante).

Fazendo backup do arquivo sshd_config

Antes de mais nada, e para sua própria segurança, é importante realizar um backup do arquivo sshd_config.

Para isto, basta utilizar o comando abaixo:

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

Através do comando acima, um arquivo de backup chamado sshd_config.bak foi criado, e caso algum problema aconteça, basta remover a extensão .bak do mesmo para que ele se transforme no arquivo de configuração padrão.

Editando o arquivo sshd_config

O arquivo sshd_config armazena diversas configurações relacionadas ao servidor SSH. É nele que iremos realizar uma pequena alteração para a devida alteração de nossa porta SSH.

Geralmente você encontra este arquivo no diretório /etc/ssh. Porém, caso não o encontre neste caminho, basta realizar uma busca na máquina, através do comando abaixo:

sudo find / -name sshd_config

De qualquer forma, vamos continuar com o diretório padrão. Dessa forma, edite agora o arquivo de configuração, utilizando o comando abaixo:

sudo nano /etc/ssh/sshd_config

Como resultado, o arquivo será aberto em seu terminal. Localize a linha iniciada por #Port 22. Aqui, você deve remover o símbolo “#” da linha e digitar a porta que deseja utilizar.

Confira abaixo como o arquivo sshd_config será aberto assim que você digitar o comando acima:

Basicamente, através deste procedimento você vai fazer com que a linha necessária fique ativa. Ou seja, ela não será mais um mero comentário.

Portanto, altere a linha de modo que a porta padrão (22) seja alterada para a porta 22333 (veja acima para maiores detalhes). Do mesmo modo, remova o comentário (#) da linha. Confira abaixo:

Obs: caso a linha #Port não exista no seu arquivo sshd_config, adicione-a seguindo o exemplo acima, incluindo o número da porta.

Finalmente, salve as modificações no arquivo. Basta teclar CTRL + O seguido de um ENTER para confirmar a operação. Para sair da edição do arquivo, basta teclar CTRL + X.

Liberando a nova porta SSH no firewall

Este é um procedimento extremamente importante, que não deve ser deixado de lado de forma alguma, pois em caso contrário você corre o risco de não mais conseguir acessar seu próprio servidor através do SSH.

Obs: não se desconecte do SSH ainda. Continue neste guia até o momento em que testaremos o acesso através da nova porta, momento no qual já será totalmente seguro encerrar a conexão.

Uma vez que configuramos uma nova porta SSH, é necessário que o firewall seja configurado de modo a permitir conexões na nova porta.

Para isto, você deve criar uma nova regra. Em servidores Ubuntu, por exemplo, o UFW (Uncomplicated Firewall) é instalado por padrão.

Mas, de qualquer forma, você deve realizar as adaptações necessárias dependendo da distro e do firewall em uso. Neste guia utilizaremos o UFW, portanto, utilize o seguinte comando:

sudo ufw allow 22333/tcp

Basicamente, o comando acima cria uma nova regra no UFW, a qual libera conexões TCP através da porta 22333.

Caso você queira, neste momento, conferir se a nova regra foi mesmo adicionada ao UFW, use o seguinte comando:

sudo ufw status verbose

Verifique agora, dentre as linhas exibidas, se existe uma em especial exibindo a porta 22333. Preste atenção especial à coluna “Action”: esta deve estar com o valor “Allow In”. Em caso afirmativo, pode seguir adiante.

Reiniciando o servidor SSH

Chegou o momento de, finalmente, reiniciar o servidor SSH, para que a antiga porta 22 seja deixada de lado e a nova porta 22333 finalmente seja habilitada.

Grande parte das distribuições atuais utiliza o systemd como init system, motivo pelo qual o comando abaixo leva este fator em consideração. Portanto, utilize o seguinte comando:

sudo systemctl restart sshd

Obs: não deixe de conferir se o serviço foi reiniciado corretamente. Para isto, utilize o seguinte comando:

systemctl status sshd

Testando a nova porta SSH

Agora, antes que você encerre a sua conexão atual com o servidor, vamos realizar alguns testes, a fim de conferir se está tudo OK com a nova porta.

Um modo de testar as novas configurações é através do comando lsof em combinação com o grep. Utilize conforme abaixo:

sudo lsof -i -n -P | grep LISTEN

Ou seja, através do comando acima você obterá uma pequena lista contendo as portas abertas no seu servidor.

Se tudo correu bem, ou seja, se você realizou os procedimentos descritos acima corretamente, deverá observar uma lista de portas “listening“, e entre elas estará a porta que foi configurada no arquivo sshd_config.

Também é possível obter informações semelhantes através de dois outros comandos. Confira abaixo:

netstat -tulpn | grep 22333
ss -tulpn | grep 22333

Conectando através da nova porta SSH

Por fim, desconecte-se de sua sessão atual com o servidor, utilizando o comando logout.

A seguir (e de agora em diante), você deve utilizar um comando semelhante ao abaixo para se conectar novamente com o servidor através do SSH:

ssh usuário@IP_do_Servidor -p 22333

Por exemplo:

ssh [email protected] -p 22333

Obs: lembre-se sempre de especificar o IP correto do seu servidor Linux.

Perceba que a partir de agora é preciso utilizar a opção -p seguida do número da porta.

Conclusão

Através deste guia você pôde entender porque utilizar a porta padrão do SSH (22) não é uma boa ideia. Além disso, você também pôde conferir instruções detalhadas para a devida alteração da porta no seu servidor.

Alterar a porta SSH faz parte das boas práticas de segurança que você deve implementar logo no início da configuração de um servidor Linux.

Isto porque os cibercriminosos estão sempre em busca de servidores vulneráveis, com erros de configuração e/ou portas abertas nas quais eles certamente farão tentativas de conexão ou invasão.

Ao alterar esta porta, você está adicionando uma “camada extra” de proteção ao seu servidor. De certa forma, trata-se de um modo de dificultar as coisas ainda mais para o cibercrime.

Adicione esta alteração ao seu checklist de segurança, e não deixe de comentar a respeito de suas impressões, dúvidas e/ou sugestões.

Até a próxima!