Domine Ferramentas e Melhores Práticas de DevOps - Hub de Conhecimento DevOps Domine Ferramentas e Melhores Práticas de DevOps - Hub de Conhecimento DevOps

Conflitos de Porta SSH: Como Identificar e Alterar Portas

Resolva problemas frustrantes de conexão SSH causados por conflitos de porta. Este guia detalha como identificar definitivamente a porta SSH ativa usando comandos do sistema (`ss`/`netstat`) e fornece uma metodologia segura e passo a passo para modificar o arquivo de configuração (`sshd_config`) e atualizar firewalls para mudar para um novo número de porta, evitando bloqueios.

Conflitos de Porta SSH: Como Identificar e Alterar Portas

Normalmente, o SSH escuta na porta TCP 22, mas servidores reais nem sempre são tão organizados. Uma imagem de nuvem pode ter o SSH movido para 2222. Um host de contêiner pode publicar vários serviços semelhantes ao SSH através de portas diferentes. Um script de hardening pode ter alterado o sshd_config há meses. Ou o sshd pode simplesmente falhar ao iniciar porque outro processo já está vinculado ao mesmo endereço e porta.

Problemas de porta geralmente se manifestam como Connection refused ou Connection timed out. A diferença é importante: "refused" geralmente significa que você alcançou o host, mas nada aceitou a conexão naquela porta. "Timeout" geralmente significa um firewall, rota, grupo de segurança ou caminho de rede que descartou o tráfego.

Entendendo Conflitos de Porta SSH

Um conflito de porta ocorre quando dois serviços de rede distintos tentam escutar por conexões de entrada no exato mesmo número de porta TCP ou UDP. Como apenas um processo pode se vincular a uma porta específica em um endereço IP por vez, o segundo serviço que tenta iniciar geralmente falha ou usa uma porta diferente se configurado para isso.

Para o SSH, um verdadeiro conflito de bind significa que o sshd não pode escutar no endereço e porta configurados. Um problema mais comum é mais simples: o SSH está escutando em uma porta, enquanto o cliente ou firewall está usando outra.

Problemas Comuns de Conexão Relacionados a Portas

Ao solucionar problemas de conectividade SSH, problemas de porta geralmente se manifestam como:

  1. Conexão Recusada: Isso geralmente significa que a máquina de destino está acessível, mas nenhum serviço está ativamente escutando na porta especificada (ou a porta errada foi usada, ou o serviço SSH falhou ao iniciar).
  2. Tempo Limite de Conexão: Isso geralmente indica que o tráfego destinado a essa porta está sendo bloqueado por um firewall (seja baseado no host ou na rede) ou que o próprio host está inacessível.

Passo 1: Identificando a Porta SSH Atualmente Ativa

Antes de fazer qualquer alteração, você deve confirmar em qual porta o daemon SSH está realmente escutando. Isso requer acesso administrativo (geralmente via console ou uma conexão existente bem-sucedida).

A. Verificando o Arquivo de Configuração SSH

A localização principal da configuração SSH é o arquivo sshd_config. A diretiva Port especifica em qual porta o sshd escuta.

Localização: /etc/ssh/sshd_config (Comum em sistemas Linux/Unix)

Use um editor de texto como nano ou vim para inspecionar o arquivo:

sudo nano /etc/ssh/sshd_config

Procure pela linha que começa com Port. Se estiver comentada, o OpenSSH usa a porta padrão 22, a menos que outro arquivo de configuração incluído a substitua.

#Port 22
Port 2222

Verifique também os trechos de configuração incluídos:

grep -R "^[[:space:]]*Port" /etc/ssh/sshd_config /etc/ssh/sshd_config.d 2>/dev/null

B. Verificando Sockets de Escuta com netstat ou ss

A maneira mais autoritativa de confirmar em qual porta o serviço está atualmente vinculado é verificando os sockets de escuta de rede do sistema operacional. A ferramenta moderna é ss, mas netstat ainda é amplamente disponível.

Usando o comando ss (Recomendado em sistemas modernos):

Este comando mostra todos os listeners TCP (-t), incluindo processos (-p), filtrando para o serviço SSH (grep sshd).

sudo ss -tlpn | grep sshd

Exemplo de Saída (Porta Padrão):

LISTEN 0      128    0.0.0.0:22               0.0.0.0:*    users:(("sshd",pid=1234,fd=3))

Exemplo de Saída (Porta Personalizada 2222):

LISTEN 0      128    0.0.0.0:2222             0.0.0.0:*    users:(("sshd",pid=1234,fd=3))

Usando netstat (Alternativa):

sudo netstat -tulpn | grep sshd

Depois de identificar a porta (por exemplo, 2222), você deve usar esse número de porta ao conectar de um cliente remoto.

Passo 2: Alterando a Porta SSH com Segurança

Alterar a porta SSH é uma prática comum de hardening de segurança. Crucialmente, nunca altere a porta antes de garantir que sua nova configuração funcione, ou você corre o risco de se bloquear.

A. A Sequência Segura para Alterar Portas

Siga estes passos precisamente para evitar perder o acesso:

  1. Verifique o Acesso do Firewall: Certifique-se de que a nova porta está aberta no firewall baseado no host (por exemplo, ufw ou firewalld) antes de reiniciar o serviço SSH.
  2. Edite a Configuração: Modifique /etc/ssh/sshd_config para o novo número de porta.
  3. Teste a Sintaxe da Configuração: Teste a sintaxe da configuração antes de reiniciar.
  4. Reinicie o Serviço SSH: Aplique as alterações.
  5. Teste a Conexão Remota: Imediatamente tente conectar usando a nova porta a partir de uma sessão de terminal separada.
  6. Remova a Regra da Porta Antiga (Opcional): Após verificar, feche a porta antiga (22) no firewall.

B. Modificando /etc/ssh/sshd_config

Use seu editor preferido para abrir o arquivo de configuração:

sudo nano /etc/ssh/sshd_config

Localize a linha Port. Altere o valor existente ou descomente/adicione uma nova diretiva Port. Vamos alterar de 22 para 2222.

# Altere esta linha:
Port 2222

Salve e feche o arquivo.

C. Atualizando Firewalls Baseados no Host (Passo Crucial)

Se você pular isso, sua conexão falhará com um timeout após o serviço reiniciar.

Usando UFW (Ubuntu/Debian):

# 1. Permita a nova porta
sudo ufw allow 2222/tcp

# 2. Se você deseja remover a regra da porta antiga depois (após testar):
# sudo ufw delete allow 22/tcp

sudo ufw status verbose

Usando Firewalld (RHEL/CentOS/Fedora):

# 1. Permita a nova porta permanentemente
sudo firewall-cmd --permanent --add-port=2222/tcp

# 2. Recarregue as regras do firewall
sudo firewall-cmd --reload

D. Testando e Recarregando o Daemon SSH

Sempre teste a sintaxe do arquivo de configuração antes de aplicar as alterações:

sudo sshd -t

Se a sintaxe estiver limpa, recarregue ou reinicie o serviço:

sudo systemctl reload sshd
# Se seu sistema usar o nome de serviço ssh em vez disso:
# sudo systemctl reload ssh

Em seguida, verifique o status:

sudo systemctl status sshd

Mantenha sua sessão SSH atual aberta e teste a nova porta a partir de um terminal separado antes de fechar qualquer coisa.

E. Conectando via Nova Porta

A partir da sua máquina cliente, você deve agora especificar explicitamente a nova porta usando a flag -p com o comando ssh:

ssh usuario@ip_do_seu_servidor -p 2222

Se a conexão for bem-sucedida, a alteração de porta funcionou. Só então você deve remover a regra antiga do firewall.

Aviso: Se você alterar a porta e não abri-la no firewall, ou se o sshd falhar ao recarregar, você pode se bloquear. Mantenha console, serial, recuperação em nuvem ou outro caminho administrativo disponível.

Solucionando Falhas de Conexão Após Alterar Portas

Se você receber um erro após alterar a porta, siga esta lista de verificação rápida:

Sintoma de Erro Causa(s) Provável(is)
Conexão Recusada 1. sshd falhou ao iniciar (verifique systemctl status sshd). 2. Você especificou a porta errada no comando do cliente. 3. O firewall está permitindo tráfego na porta antiga (22), mas bloqueando a nova porta (2222).
Tempo Limite de Conexão 1. Host está inativo. 2. O firewall do host (UFW/firewalld) está ativamente descartando pacotes para a nova porta. 3. O firewall da infraestrutura de rede está bloqueando a porta.

Para confirmar que o daemon está escutando, execute novamente sudo ss -tlpn | grep sshd no lado do servidor.

Uma Maneira Mais Segura de Pensar Sobre Alterações de Porta

Não confie apenas no arquivo de configuração e não confie apenas no firewall. Confirme todas as três camadas: sshd_config diz a porta que você espera, ss mostra sshd realmente escutando lá, e o firewall ou grupo de segurança da nuvem permite que o tráfego alcance. Quando esses três concordam, o comando do cliente é direto:

ssh -p 2222 usuario@ip_do_seu_servidor

Alterar a porta SSH pode reduzir varreduras automatizadas ruidosas na porta 22, mas não substitui autenticação por chave, regras de firewall sensatas, sistemas corrigidos e desabilitar login por senha quando apropriado.