SSH连不上先排查网络、服务、认证和策略四层:先ping和telnet测通断与端口,再查sshd状态及配置,接着分析日志与客户端调试输出,最后检查SELinux、防火墙及容器映射。
SSH 连不上 Linux 服务器,先别急着重装系统或重启机器。多数情况是配置、网络或权限层面的问题,按顺序排查能快速定位根源。
检查本地网络与目标可达性
确保你的电脑能“触达”服务器本身:
- 运行 ping 服务器IP —— 如果不通,可能是网络隔离、防火墙拦截、服务器关机或网卡故障
- 用 telnet 服务器IP 22 或 nc -zv 服务器IP 22 测试 22 端口是否开放;若连接被拒绝,说明 SSH 服务未运行或端口被屏蔽
- 如果是云服务器(如阿里云、腾讯云),务必检查安全组规则——22 端口必须显式放行入方向 TCP 流量
确认 SSH 服务状态与监听配置
登录服务器控制台(如 VNC、云平台救援模式)后执行:
- systemctl status sshd(CentOS/RHEL 用 sshd,Ubuntu/Debian 通常也是 sshd)—— 查看服务是否 active (running)
- ss -tlnp | grep :22 或 netstat -tlnp | grep :22 —— 确认 sshd 是否真正在监听 22 端口(注意:有些系统改过端口,比如监听在 2222)
- 检查 /etc/ssh/sshd_config 中关键项:
• Port 是否被修改(默认是 22)
• ListenAddress 是否限制了绑定 IP(例如只绑 127.0.0.1 就无法远程连接)
• PermitRootLogin 和 PasswordAuthentication 影响登录方式,但不阻止连接建立
验证认证环节是否卡住
如果能连上端口但卡在密码/密钥输入或直接报错,问题出在认证阶段:
- 查看服务端日志:journalctl -u sshd -n 50 -f,尝试新连接,观察实时报错(如 “User xxx from xxx not allowed because account is locked”、“no matching key exchange method”、“Connection closed by … port 22”)
- 客户端加 -v 参数调试:ssh -v user@ip,逐层显示协商过程(比如密钥类型不匹配、KexAlgorithms 不兼容常见于新版 OpenSSH 连老系统)
- 检查用户状态:passwd -S username 看是否被锁定;getent passwd username 确认用户存在且 shell 合法(如 /bin/bash)
- 密钥登录失败?确认 ~/.ssh/authorized_keys 权限为 600,目录 ~/.ssh 为 700,且文件属主正确
留意 SELinux 与防火墙干扰
即使服务跑着、端口开着,策略也可能静默拦截:
- SELinux:运行 sestatus,若为 enforcing 状态,临时设为 permissive 测试:setenforce 0;若恢复连接,需调整策略(如 setsebool -P sshd_can_network_connect on)
- 系统防火墙:iptables -L -n | grep :22 或 firewall-cmd --list-all(CentOS/RHEL);ufw status(Ubuntu)—— 确保 22 端口允许 INPUT
- 某些环境(如 Docker 容器、LXC)可能未暴露 22 端口或转发失败,需检查宿主机端口映射与容器网络设置
从网络通路、服务运行、认证逻辑到策略限制,一层层排除,90% 的 SSH 连接问题都能准确定位。关键不是试,而是看日志、看状态、看实际路径是否畅通。
