SSH 连接失败排查指南

SSH 连不上时，不要第一反应就重装系统。绝大多数问题都能从报错类型反推原因：超时通常是网络或防火墙不通，拒绝连接多半是 SSH 服务没监听，Permission denied 则集中在账号、密码、密钥和权限。按下面顺序排查，能少走很多弯路。

🧭 先判断是哪一种失败

先看终端报错，不同报错代表完全不同的方向。不要把所有“连不上”都当成密码错，也不要一上来就改防火墙。

  # 1. 确认你连接的 IP、端口和用户名
ssh -v root@你的服务器IP
ssh -v -p 22 root@你的服务器IP

# 2. 检查本机到服务器端口是否通
ping 你的服务器IP
Test-NetConnection 你的服务器IP -Port 22   # Windows PowerShell
nc -vz 你的服务器IP 22                     # macOS / Linux

# 3. 如果你改过端口，把 22 换成实际端口
ssh -v -p 2222 root@你的服务器IP
Test-NetConnection 你的服务器IP -Port 2222

⏱️ 连接超时：网络、端口或防火墙不通

连接超时说明你的客户端没有收到服务器 SSH 端口的响应。它通常不是密码问题，而是请求根本没到 SSH 服务，或响应回不来。

如果 Ping 不通但云控制台显示机器正常，不一定代表服务器坏了。很多机房或系统会禁 ICMP。关键看 TCP 端口是否通。

🚪 Connection refused：SSH 服务没在监听

拒绝连接说明服务器响应了，但目标端口没有 SSH 服务接收连接。常见原因是 SSH 服务停止、配置写错、监听端口不是你正在连接的端口。

  # 在能通过控制台/VNC/救援模式进入服务器后执行
systemctl status ssh
systemctl status sshd

# 查看 SSH 服务是否监听端口
ss -lntp | grep -E ':(22|2222)\\b'

# 查看 SSH 配置里的端口和登录规则
sudo grep -E '^(Port|PermitRootLogin|PasswordAuthentication|PubkeyAuthentication)' /etc/ssh/sshd_config

# 测试配置语法，没报错再重启
sudo sshd -t
sudo systemctl restart ssh || sudo systemctl restart sshd

🔐 Permission denied：账号、密码或密钥不对

Permission denied 至少说明网络和端口是通的。接下来要判断是用户名错、密码认证被禁、公钥没匹配，还是服务器端权限不对。

  # Debian / Ubuntu
sudo tail -n 100 /var/log/auth.log
sudo grep -i "sshd" /var/log/auth.log | tail -n 50

# CentOS / Rocky / AlmaLinux
sudo tail -n 100 /var/log/secure
sudo grep -i "sshd" /var/log/secure | tail -n 50

# systemd 通用方式
sudo journalctl -u ssh -n 100 --no-pager
sudo journalctl -u sshd -n 100 --no-pager

• root 不能登录：检查 PermitRootLogin，很多镜像默认禁用 root 密码登录。
• 密码一定正确但失败：检查 PasswordAuthentication no 是否禁用了密码登录。
• 密钥登录失败：确认连接时用了正确私钥，并且服务器端 authorized_keys 有对应公钥。
• 新建用户失败：确认用户存在、shell 正常、没有被锁定。

🗝️ 密钥权限错误：本地和服务器都要查

SSH 对密钥权限非常敏感。权限过宽时，即使密钥内容正确，客户端或服务端也可能直接拒绝使用。

  # 本地私钥权限，Linux / macOS / Git Bash
chmod 700 ~/.ssh
chmod 600 ~/.ssh/id_rsa
chmod 600 ~/.ssh/id_ed25519

# 指定私钥连接
ssh -i ~/.ssh/id_ed25519 root@你的服务器IP

# 服务器端权限，进入服务器后检查
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys
chown -R "$USER:$USER" ~/.ssh

Windows 用户如果使用 OpenSSH，也可能遇到私钥权限问题。可以把私钥放在当前用户目录下的 .ssh 文件夹，并确保不要被 Everyone 或其它用户组授予写权限。

🔁 改过 SSH 端口后连不上

改端口是最常见的自锁场景。正确顺序应该是：先放行新端口，再修改配置，再测试配置，再重启 SSH，最后保留旧连接窗口验证新连接。

1. 在云厂商安全组里放行新端口。
2. 在系统防火墙里放行新端口。
3. 修改 sshd_config 的 Port。
4. 执行 sshd -t 确认配置无误。
5. 重启 SSH 服务。
6. 不要关闭旧窗口，另开一个窗口测试新端口。

🧱 云厂商安全组和系统防火墙

VPS 有两层常见防火墙：云厂商安全组在实例外层，系统防火墙在服务器内部。任何一层没放行，SSH 都可能连不上。

  # UFW
sudo ufw status verbose
sudo ufw allow 22/tcp
sudo ufw allow 2222/tcp

# firewalld
sudo firewall-cmd --list-all
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --reload

# iptables 查看规则
sudo iptables -S
sudo iptables -L -n -v

🛟 已经完全进不去怎么办

如果所有 SSH 方式都失败，不要继续盲目尝试密码。按恢复入口从轻到重处理：

✅ 恢复后建议做的预防动作

• 记录服务器 IP、SSH 端口、登录用户和密钥位置。
• 创建一个有 sudo 权限的普通用户，不要只依赖 root。
• 改 SSH 配置前保留旧连接窗口。
• 启用密钥登录后，再逐步关闭密码登录。
• 防火墙改动前先确认云控制台或救援模式可用。
• 重要机器定期做快照或文件级备份。

❓ 常见问题解答