快速修复SSH连接被拒绝错误

SSH（安全外壳）是远程服务器管理的基石，允许本地机器与远程服务器之间进行安全加密通信。然而，遇到 ssh: connect to host <IP_ADDRESS> port 22: Connection refused 错误可能是一个令人沮丧的障碍，阻止您访问关键系统。

本文提供了一份全面的、逐步的指南，用于诊断和解决常见的“连接被拒绝”错误。我们将探讨主要原因，从SSH守护进程未运行到防火墙配置错误和服务器设置不正确，使您掌握快速恢复服务器访问的知识和命令。

理解“连接被拒绝”错误

当您收到 Connection refused 错误时，表示您的SSH客户端成功到达了远程服务器，但服务器明确拒绝了指定端口上的连接。这与 Connection timed out 错误（客户端根本无法到达服务器）或 No route to host 错误（网络路径中断）不同。

“被拒绝”状态直接指向服务器端的问题，该问题主动阻止SSH服务接受连接。这通常涉及SSH守护进程未运行、防火墙阻止连接或SSH服务本身的配置错误。

“连接被拒绝”的常见原因

多种因素可能导致SSH连接被拒绝。理解这些因素有助于缩小故障排除范围：

• SSH守护进程（sshd）未运行：最常见的原因。SSH服务器进程可能已崩溃、被停止或未能在启动时启动。
• 防火墙阻止端口22（或自定义端口）：服务器防火墙（例如UFW、firewalld、iptables）阻止了SSH端口的传入连接。
• SSH守护进程配置错误：sshd_config 文件可能配置错误，导致SSH守护进程监听不同的端口、错误的网络接口，或拒绝特定用户/方法的连接。
• 网络连接问题（对于“被拒绝”不太常见）：虽然对于“被拒绝”错误不太可能，但基本的网络问题有时也会意外出现。
• SELinux或AppArmor限制：安全增强型Linux（SELinux）或AppArmor等安全增强功能可能阻止 sshd 正常运行，尤其是在自定义配置或系统更改之后。

逐步故障排除指南

让我们深入了解诊断和修复“连接被拒绝”错误的实际步骤。

步骤1：验证服务器上的SSH守护进程状态

首先要检查的是远程机器上的SSH服务器守护进程（sshd）是否实际运行。如果SSH完全无法访问，您通常需要控制台访问（例如通过云提供商的控制台或物理连接）来执行这些检查。

1. 检查SSH守护进程状态： 在大多数现代Linux发行版（使用 systemd 的发行版，如Ubuntu、CentOS 7+、Debian 8+）上：

   sudo systemctl status sshd
   

在Debian/Ubuntu上，服务可能名为ssh：

sudo systemctl status ssh ``` 如果 sshd 未运行，输出将显示 inactive (dead) 或类似状态。

1. 启动SSH守护进程： 如果状态为未激活，请尝试启动服务：

   sudo systemctl start sshd
   

或者在Debian/Ubuntu上：

sudo systemctl start ssh ```

1. 启用SSH守护进程以在启动时启动： 为确保SSH在重启后自动启动，请启用它：

   sudo systemctl enable sshd
   

或者在Debian/Ubuntu上：

sudo systemctl enable ssh ```

1. 检查SSH守护进程日志： 如果 sshd 无法启动，其日志可以提供关键线索。对于 systemd 系统：

   sudo journalctl -u sshd --since "10 minutes ago"
   

或者，如果您的发行版使用ssh单元：

sudo journalctl -u ssh --since "10 minutes ago" 或者，检查常规身份验证日志： bash sudo tail -f /var/log/auth.log # 对于RHEL/CentOS： sudo tail -f /var/log/secure ```

步骤2：检查防火墙规则

服务器端防火墙通常是连接被拒绝的罪魁祸首。它可能阻止了默认的SSH端口（22）或您尝试使用的自定义端口。您需要确保防火墙允许SSH端口的传入连接。

1. 识别您的防火墙： 常见的防火墙包括：

   • UFW（简单防火墙）：常见于Ubuntu/Debian。
   • firewalld：常见于CentOS/RHEL 7+。
   • iptables：Linux的底层防火墙，直接配置或通过前端配置。

2. 检查防火墙状态和规则：

   • UFW：

     sudo ufw status verbose
     

     查找允许 port 22（或您的自定义SSH端口）流量的规则。如果列出了SSH，请确保它是 ALLOW 状态。
   • firewalld：

     sudo firewall-cmd --list-all
     

     检查 services 和 ports 部分是否有 ssh 或 port 22/tcp。
   • iptables：

     sudo iptables -L -v -n
     

     此输出可能很复杂。在 INPUT 链中查找与 tcp dpt:22（或您的自定义端口）相关的 DROP 或 REJECT 规则。

3. 允许SSH端口通过防火墙：

   • UFW：

     sudo ufw allow ssh        # 允许端口22
     # 或者，对于自定义端口（例如2222）：
     sudo ufw allow 2222/tcp
     sudo ufw enable           # 如果UFW未激活
     

   • firewalld：

     sudo firewall-cmd --permanent --add-service=ssh
     # 或者，对于自定义端口（例如2222）：
     sudo firewall-cmd --permanent --add-port=2222/tcp
     sudo firewall-cmd --reload
     

   • iptables： 直接添加 iptables 规则更复杂，除非保存，否则是临时的。通常建议使用 firewalld 或 ufw（如果可用）。对于快速测试（不持久）：

     sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
     sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
     # 如果您希望这些规则在重启后持续存在，则需要保存它们。
     

   警告： 修改防火墙规则时要小心，尤其是在通过SSH连接到远程服务器时。错误的规则可能会永久锁定您。在关闭当前SSH会话之前，请始终验证您的更改是否有效（如果您有打开的会话）。

步骤3：验证SSH配置（sshd_config）

SSH守护进程的配置文件（/etc/ssh/sshd_config）决定了服务的运行方式。此处的配置错误可能导致连接被拒绝。

1. 找到 sshd_config： 主配置文件通常位于 /etc/ssh/sshd_config。

2. 检查关键设置： 使用文本编辑器（例如 nano、vi）打开文件：

   sudo nano /etc/ssh/sshd_config
   

   查找以下指令：

   • Port：指定 sshd 监听的端口。确保它与您从客户端尝试连接的端口匹配。如果被注释掉（#），则默认为端口22。
   • ListenAddress：如果存在，指定 sshd 应监听的IP地址。如果设置为内部IP（例如 127.0.0.1）并且您从外部网络连接，它将拒绝连接。要监听所有接口，通常将其注释掉或设置为 0.0.0.0 或 ::（对于IPv6）。
   • PermitRootLogin：如果设置为 no，您将无法以root身份登录。虽然严格来说这不是“连接被拒绝”（通常是连接之后的权限被拒绝），但它可能阻止成功的登录尝试。
   • PasswordAuthentication：如果设置为 no，则禁用密码身份验证，需要基于密钥的身份验证。

   提示： 对 sshd_config 进行任何更改后，必须重新启动SSH服务才能生效：

   sudo systemctl restart sshd
   

步骤4：网络连接（基本检查）

虽然“连接被拒绝”通常意味着已到达服务器，但最好从客户端机器快速确认到服务器IP地址的基本网络可达性。

1. Ping服务器： 从客户端机器，尝试ping服务器的IP地址或主机名：

   ping <SERVER_IP_ADDRESS_OR_HOSTNAME>
   

   如果ping失败（100%丢包），则存在更基本的网络问题（例如IP错误、服务器离线、网络路由问题），需要在SSH之前解决。

2. 使用 nc 或 telnet（从客户端）： 从客户端角度测试端口是否打开并监听：

   # 使用netcat (nc)
   nc -zv <SERVER_IP_ADDRESS> 22
   
   # 使用telnet
   telnet <SERVER_IP_ADDRESS> 22
   

   如果 nc 显示 Connection refused 或 telnet 立即退出，则确认服务器正在主动拒绝该端口，问题指向SSH守护进程或防火墙。

步骤5：检查SELinux或AppArmor（高级）

在某些强化环境中，或在自定义配置之后，SELinux（安全增强型Linux）或AppArmor可能阻止 sshd 正常运行，尤其是在使用非标准SSH端口时。

1. 检查SELinux状态：

   sestatus
   

   如果SELinux处于 enforcing 状态，您可能需要调整其策略以允许 sshd 在自定义端口上运行。 例如，要允许端口2222用于SSH：

   sudo semanage port -a -t ssh_port_t -p tcp 2222
   sudo systemctl restart sshd
   

   （如果 semanage 不可用，请安装：在Debian/Ubuntu上使用 sudo apt install policycoreutils-python-utils，在RHEL系列发行版上使用 sudo yum install policycoreutils-python-utils 或匹配的软件包）。

2. 检查AppArmor状态：

   sudo aa status
   

   如果AppArmor处于 enforcing 状态，请检查其日志（/var/log/syslog 或 dmesg）中是否有与 sshd 相关的拒绝记录。

步骤6：再次查看服务器日志

在尝试上述步骤后，始终重新检查服务器日志中是否有与 sshd 相关的新错误消息。这是了解服务器正在经历什么的最可靠来源。

• sudo journalctl -u sshd
• sudo tail -f /var/log/auth.log（或 /var/log/secure）

查找指示服务为何无法启动、连接为何被丢弃或其他相关信息的消息。

防止未来问题的最佳实践

• 定期更新操作系统：保持服务器操作系统和软件包（包括 openssh-server）为最新。
• 测试防火墙规则：实施或修改防火墙规则后，立即进行测试。
• 备份 sshd_config：在更改 /etc/ssh/sshd_config 之前，进行备份（sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak）。
• 使用管理控制台：对于云实例，了解如何访问服务器的控制台（例如AWS EC2串行控制台、Google Cloud控制台），以便在SSH不可用时进行网络问题故障排除。
• 监控日志：定期检查 auth.log 或 secure 日志，以发现异常活动或持续错误。

最终要点

SSH连接被拒绝错误通常意味着服务器可达，但该端口上没有东西接受您的连接。检查您发行版的SSH服务名称，确认端口正在监听，打开防火墙，验证 sshd_config，并在进行更大更改之前读取日志。如果您仍然有一个打开的会话，请保持其打开状态，直到新登录成功。