{"id":29620,"date":"2026-02-27T12:45:00","date_gmt":"2026-02-27T11:45:00","guid":{"rendered":"https:\/\/contabo.com\/blog\/so-aenderst-du-den-ssh-port-unter-linux\/"},"modified":"2026-04-01T09:23:36","modified_gmt":"2026-04-01T07:23:36","slug":"so-aenderst-du-den-ssh-port-unter-linux","status":"publish","type":"post","link":"https:\/\/contabo.com\/blog\/de\/so-aenderst-du-den-ssh-port-unter-linux\/","title":{"rendered":"So \u00e4nderst du den SSH-Port unter Linux"},"content":{"rendered":"\n
\"So<\/figure>\n\n\n\n

Jeder Bot im Internet wei\u00df, dass SSH auf Port 22 l\u00e4uft. Das ist die erste T\u00fcr, an der sie klopfen. Innerhalb von Minuten nach dem Aufsetzen eines frischen Linux-Servers siehst du Login-Versuche von IPs, von denen du noch nie geh\u00f6rt hast, die mit W\u00f6rterbuch-Angriffen auf die Standard-SSH-Portnummer h\u00e4mmern. Die Logs f\u00fcllen sich schnell.<\/p>\n\n\n\n

Den Standard-SSH-Port zu \u00e4ndern macht deinen Server nicht unverwundbar. Das muss klar sein. Aber es beseitigt den Gro\u00dfteil des automatisierten Brute-Force-Rauschens, und allein das ist die zwei Minuten wert. Stell es dir so vor: Du verlegst deine Eingangst\u00fcr in eine Seitenstra\u00dfe, in die sich Script-Kiddies gar nicht erst verirren.<\/p>\n\n\n\n

Dieser Leitfaden f\u00fchrt dich durch jeden Schritt: neuen Port w\u00e4hlen, ’sshd_config‘ bearbeiten, Firewall-Regeln aktualisieren, den Dienst neu starten und pr\u00fcfen, ob alles funktioniert. Nichts Kompliziertes. Einfach die Befehle, die du auf einem Linux-VPS brauchst.<\/p>\n\n\n\n

Einen neuen SSH-Port w\u00e4hlen<\/h2>\n\n\n\n

Bevor du irgendwelche Konfigurationsdateien anfasst, musst du entscheiden, auf welchen Port du SSH verschieben willst. W\u00e4hlst du den falschen, kollidierst du mit einem anderen Dienst. W\u00e4hlst du einen offensichtlichen, war die M\u00fche umsonst.<\/p>\n\n\n\n

Hier die Kurzreferenz f\u00fcr g\u00e4ngige SSH-Ports und Well-Known Ports, die du unbedingt meiden musst:<\/p>\n\n\n\n

Port<\/strong><\/td>Dienst<\/strong><\/td>Protokoll<\/strong><\/td><\/tr>
20\/21<\/td>FTP<\/td>TCP<\/td><\/tr>
22<\/td>SSH<\/td>TCP<\/td><\/tr>
23<\/td>Telnet<\/td>TCP<\/td><\/tr>
25<\/td>SMTP<\/td>TCP<\/td><\/tr>
53<\/td>DNS<\/td>TCP\/UDP<\/td><\/tr>
80<\/td>HTTP<\/td>TCP<\/td><\/tr>
110<\/td>POP3<\/td>TCP<\/td><\/tr>
143<\/td>IMAP<\/td>TCP<\/td><\/tr>
443<\/td>HTTPS<\/td>TCP<\/td><\/tr>
3306<\/td>MySQL<\/td>TCP<\/td><\/tr>
8080<\/td>HTTP alt<\/td>TCP<\/td><\/tr>
8443<\/td>HTTPS-alt<\/td>TCP<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Der Bereich der Well-Known Ports umfasst 0 bis 1023. Diese geh\u00f6ren zu privilegierten Diensten, und dein Betriebssystem erwartet, dass das so bleibt. Der Bereich der registrierten Ports, 1024 bis 49151, beherbergt Dinge wie Datenbanken, Application Server und andere Software, die ihren Platz bereits beansprucht hat.<\/p>\n\n\n\n

Am besten nimmst du den Bereich der dynamischen oder privaten Ports: 49152 bis 65535<\/strong>. Dort ist nichts vorab zugewiesen. W\u00e4hle etwas Zuf\u00e4lliges in diesem Bereich, etwa 51832 oder 62419, und du wirst kaum auf Konflikte sto\u00dfen. Vermeide „clevere“ Wahlen wie 2222 oder 2200. Das sind die Ports, die Angreifer nach Port 22 als n\u00e4chstes pr\u00fcfen.<\/p>\n\n\n\n

So \u00e4nderst du den Standard-SSH-Port<\/h2>\n\n\n\n

Du hast deine Portnummer. Jetzt \u00e4ndern wir den Port tats\u00e4chlich. Der Ablauf ist derselbe, egal ob du Ubuntu, Debian, CentOS oder eine andere g\u00e4ngige Linux-Distribution nutzt. F\u00fcnf Schritte, und du solltest deine aktuelle SSH-Session die gesamte Zeit offen lassen. Falls etwas schiefgeht, ist diese offene Session deine Rettungsleine.<\/p>\n\n\n\n

Per SSH mit dem Server verbinden<\/h3>\n\n\n\n

\u00d6ffne ein Terminal. Unter macOS oder Linux ist es bereits integriert. Unter Windows l\u00e4dst du PuTTY herunter oder nutzt den integrierten OpenSSH-Client ab Windows 10. F\u00fchre den SSH-Login-Befehl aus:<\/p>\n\n\n\n

ssh username@server_ip<\/code><\/pre>\n\n\n\n
Gib dein Passwort ein, wenn du dazu aufgefordert wirst. Wenn du bereits SSH-Key-Authentifizierung eingerichtet hast (und das solltest du), wirst du direkt eingeloggt. So oder so: Verschaffe dir eine Root-Shell oder stelle sicher, dass du sudo<\/code> ausf\u00fchren kannst. F\u00fcr alles, was folgt, brauchst du erh\u00f6hte Berechtigungen.<\/p>\n\n\n\n
Die ’sshd_config‘ bearbeiten<\/h3>\n\n\n\n
Das Verhalten des SSH-Daemons wird \u00fcber eine einzige Konfigurationsdatei gesteuert. \u00d6ffne sie:<\/p>\n\n\n\n
sudo nano \/etc\/ssh\/sshd_config<\/code><\/pre>\n\n\n\n
Scrolle, bis du die Zeile findest, die lautet #Port 22<\/code><\/strong>. Das Rautezeichen bedeutet, dass die Zeile auskommentiert ist, und SSH nutzt implizit den Standardport 22. Entferne das #<\/strong><\/code> und \u00e4ndere 22<\/strong> <\/code>in deine gew\u00e4hlte Portnummer:<\/p>\n\n\n\n
Port 51832<\/code><\/pre>\n\n\n\n
Das war es f\u00fcr die SSH-Konfigurationsdatei. Speichere und verlasse nano mit Strg+X<\/strong>, dann Y<\/strong>, dann Enter<\/strong>. Auf manchen neueren Ubuntu-Systemen (22.10+) nutzt SSH m\u00f6glicherweise eine socket-basierte Konfiguration. Wenn deine sshd_config-\u00c4nderung nicht greift, pr\u00fcfe \/etc\/ssh\/sshd_config.d\/<\/code><\/strong> auf Override-Dateien oder schau dir systemd socket activation<\/code><\/strong> die Einstellungen an.<\/p>\n\n\n\n
Firewall-Regeln f\u00fcr den neuen Port aktualisieren<\/h3>\n\n\n\n
Hier sperren sich die Leute gerne aus. Du hast SSH gesagt, dass es auf einem neuen Port lauschen soll, aber deine Firewall l\u00e4sst weiterhin nur Traffic auf Port 22 durch. Wenn du SSH jetzt neu startest, war es das. Ausgesperrt. Game over.<\/p>\n\n\n\n
Wenn du UFW nutzt (Standard bei Ubuntu und Debian), erlaube zuerst deinen neuen Port:<\/p>\n\n\n\n
sudo ufw allow 51832\/tcp<\/code><\/pre>\n\n\n\n
Neu laden zum Anwenden:<\/p>\n\n\n\n
sudo ufw reload<\/code><\/pre>\n\n\n\n
Pr\u00fcfe, ob die UFW-Firewall-Regeln aktiv sind:<\/p>\n\n\n\n
sudo ufw status<\/code><\/pre>\n\n\n\n
Du solltest deinen neuen Port als ALLOW aufgelistet sehen. Wenn du firewalld<\/strong> nutzt (\u00fcblich auf CentOS\/RHEL), lautet das \u00c4quivalent:<\/p>\n\n\n\n
sudo firewall-cmd --permanent --add-port=51832\/tcp && sudo firewall-cmd --reload<\/code><\/pre>\n\n\n\n
Wenn du noch nie Firewall-Regeln konfiguriert hast und ufw status<\/code><\/strong> „inactive“ anzeigt, kannst du diesen Schritt \u00fcberspringen. Aber du solltest das bald nachholen. Einen Server ohne Firewall zu betreiben ist eine Einladung f\u00fcr Probleme.<\/p>\n\n\n\n
Den SSH-Dienst neu starten<\/h3>\n\n\n\n
Wende jetzt die neue Konfiguration an, indem du den SSH-Daemon neu startest. Auf jeder modernen Distribution mit systemd<\/code>:<\/p>\n\n\n\n
sudo systemctl restart sshd<\/code><\/pre>\n\n\n\n
Auf \u00e4lteren Systemen mit SysVinit:<\/p>\n\n\n\n
sudo service ssh restart<\/code><\/pre>\n\n\n\n
Pr\u00fcfe, ob der Neustart sauber durchgelaufen ist:<\/p>\n\n\n\n
sudo systemctl status sshd<\/code><\/pre>\n\n\n\n
Du willst „active (running)“ ohne Fehler sehen. Wenn es fehlgeschlagen ist, hast du einen Tippfehler in der sshd_config<\/code>. Geh zur\u00fcck und behebe ihn. Deine aktuelle Session l\u00e4uft noch, du kannst also weiterhin \u00c4nderungen vornehmen.<\/p>\n\n\n\n
Pr\u00fcfen, ob der neue SSH-Port aktiv ist<\/h3>\n\n\n\n
Vertraue nicht einfach darauf, dass der Neustart funktioniert hat. Pr\u00fcfe es. Zwei Dinge sind zu checken: Der Port ist offen, und du kannst dich tats\u00e4chlich dar\u00fcber verbinden.<\/p>\n\n\n\n
Den Port mit ’ss‘ oder ’netstat‘ pr\u00fcfen<\/h4>\n\n\n\n
Der ss<\/code>-Befehl ist der moderne Ersatz f\u00fcr ’netstat‘ unter Linux. F\u00fchre aus:<\/p>\n\n\n\n
ss -tuln | grep 51832<\/code><\/pre>\n\n\n\n
Du solltest einen LISTEN-Eintrag auf deinem Port sehen. Wenn du den \u00e4lteren ’netstat‘-Ansatz bevorzugst:<\/p>\n\n\n\n
netstat -tuln | grep 51832<\/code><\/pre>\n\n\n\n
Gleiche Ausgabe, anderes Tool. Wenn nichts angezeigt wird, lauscht SSH nicht auf diesem Port. Geh zur\u00fcck zur sshd_config<\/code>-Datei und \u00fcberpr\u00fcfe deine \u00c4nderung nochmal.<\/p>\n\n\n\n
Auf dem neuen SSH-Port einloggen<\/h4>\n\n\n\n
\u00d6ffne ein neues<\/strong> Terminalfenster. Schlie\u00dfe deine bestehende Session nicht. Teste die Verbindung mit dem -<\/code><\/strong>p<\/strong> <\/code>Flag:<\/p>\n\n\n\n
ssh -p 51832 username@server_ip<\/code><\/pre>\n\n\n\n
Wenn du eine Shell bekommst, passt alles. Die SSH-Port-\u00c4nderung hat funktioniert. Wenn die Verbindung h\u00e4ngt oder abgelehnt wird, stimmt etwas mit deinen Firewall-Regeln oder der ’sshd_config‘-\u00c4nderung nicht. Deine alte Session ist noch offen, also geh auf Fehlersuche.<\/p>\n\n\n\n
Sobald du best\u00e4tigt hast, dass der neue Port funktioniert, kannst du optional die alte Port-22-Regel aus deiner Firewall entfernen:<\/p>\n\n\n\n
sudo ufw deny 22\/tcp && sudo ufw reload<\/code><\/pre>\n\n\n\n
Mach das erst, wenn du dir zu 100 % sicher bist, dass der neue Port funktioniert. Es gibt kein Zur\u00fcck, wenn du dich aussperrst.<\/p>\n\n\n\n
FAQ zur SSH-Port-\u00c4nderung<\/h2>\n\n\n\n
Warum den Standard-SSH-Port \u00e4ndern?<\/strong> 
Automatisierte SSH-Brute-Force-Angriffe zielen standardm\u00e4\u00dfig auf Port 22. Tausende Bots scannen ganze IP-Bereiche auf der Suche nach dieser offenen T\u00fcr. Ein Wechsel auf einen nicht standardm\u00e4\u00dfigen Port stoppt keinen entschlossenen Angreifer, der einen vollst\u00e4ndigen Portscan durchf\u00fchrt, aber er beseitigt das automatisierte Grundrauschen. Deine Auth-Logs werden ruhiger. Dein ‚fail2ban‘ mu\u00df keine \u00dcberstunden mehr machen. Das ist grundlegende Sicherheitshygiene, kombiniert mit Ma\u00dfnahmen wie SSH-Key-Authentifizierung und dem Deaktivieren des Root-Logins.<\/p> <\/div> 
Welcher Port ist am besten f\u00fcr SSH?<\/strong> 
Irgendeiner im Bereich 49152 bis 65535, den du dir merken kannst. Vermeide „kreative“ Ports wie 2222, 8022 oder 443 (der mit HTTPS kollidiert). Welche SSH-Portnummer du w\u00e4hlst, ist nicht so wichtig, solange es kein Well-Known Port ist, kein anderer Dienst auf deinem Server ihn nutzt und es nichts ist, was ein Angreifer beim zweiten Versuch erraten w\u00fcrde. Zuf\u00e4llig ist gut. Schreib ihn dir an einem sicheren Ort auf.<\/p> <\/div> 
Beeinflu\u00dft die \u00c4nderung des SSH-Ports die Performance?<\/strong> 
Nein. Keinerlei Auswirkung. Du \u00e4nderst nur, an welcher nummerierten T\u00fcr der SSH-Daemon antwortet, nicht wie er Verbindungen verarbeitet. Verschl\u00fcsselung, Key-Austausch und Daten\u00fcbertragung funktionieren identisch, unabh\u00e4ngig vom Port. Die Performance deines Linux-Servers bleibt exakt gleich. Das Einzige, was sich \u00e4ndert, ist der Einstiegspunkt und die Tatsache, dass dein Server nicht mehr in oberfl\u00e4chlichen Portscans auftaucht, die auf den Standard-SSH-Port abzielen.<\/p> <\/div> <\/div>\n","protected":false},"excerpt":{"rendered":"
Jeder Bot im Internet wei\u00df, dass SSH auf Port 22 l\u00e4uft. Das ist die erste T\u00fcr, an der sie klopfen. Innerhalb von Minuten nach dem Aufsetzen eines frischen Linux-Servers siehst du Login-Versuche von IPs, von denen du noch nie geh\u00f6rt hast, die mit W\u00f6rterbuch-Angriffen auf die Standard-SSH-Portnummer h\u00e4mmern. Die Logs f\u00fcllen sich schnell. Den Standard-SSH-Port […]<\/p>\n","protected":false},"author":44,"featured_media":28874,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"_uag_custom_page_level_css":"","site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1399],"tags":[1443],"ppma_author":[3402],"class_list":["post-29620","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tutorials","tag-linux-de"],"uagb_featured_image_src":{"full":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2026\/03\/blog-head_how2-change-the-ssh-port-on-a-linux-server.webp",1200,630,false],"thumbnail":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2026\/03\/blog-head_how2-change-the-ssh-port-on-a-linux-server-150x150.webp",150,150,true],"medium":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2026\/03\/blog-head_how2-change-the-ssh-port-on-a-linux-server-600x315.webp",600,315,true],"medium_large":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2026\/03\/blog-head_how2-change-the-ssh-port-on-a-linux-server-768x403.webp",768,403,true],"large":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2026\/03\/blog-head_how2-change-the-ssh-port-on-a-linux-server.webp",1200,630,false],"1536x1536":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2026\/03\/blog-head_how2-change-the-ssh-port-on-a-linux-server.webp",1200,630,false],"2048x2048":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2026\/03\/blog-head_how2-change-the-ssh-port-on-a-linux-server.webp",1200,630,false]},"uagb_author_info":{"display_name":"Milan Ivanovic","author_link":"https:\/\/contabo.com\/blog\/de\/author\/milan\/"},"uagb_comment_info":0,"uagb_excerpt":"Jeder Bot im Internet wei\u00df, dass SSH auf Port 22 l\u00e4uft. Das ist die erste T\u00fcr, an der sie klopfen. Innerhalb von Minuten nach dem Aufsetzen eines frischen Linux-Servers siehst du Login-Versuche von IPs, von denen du noch nie geh\u00f6rt hast, die mit W\u00f6rterbuch-Angriffen auf die Standard-SSH-Portnummer h\u00e4mmern. Die Logs f\u00fcllen sich schnell. Den Standard-SSH-Port…","authors":[{"term_id":3402,"user_id":0,"is_guest":1,"slug":"contabro","display_name":"ContaBro","avatar_url":"https:\/\/secure.gravatar.com\/avatar\/?s=96&d=mm&r=g","0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":""}],"_links":{"self":[{"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/posts\/29620","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/users\/44"}],"replies":[{"embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/comments?post=29620"}],"version-history":[{"count":5,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/posts\/29620\/revisions"}],"predecessor-version":[{"id":29634,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/posts\/29620\/revisions\/29634"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/media\/28874"}],"wp:attachment":[{"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/media?parent=29620"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/categories?post=29620"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/tags?post=29620"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/contabo.com\/blog\/de\/wp-json\/wp\/v2\/ppma_author?post=29620"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}