理解SSH连接中“Connection Refused”错误的本质

SSH是我们远程管理Linux、 Unix系统的首选工具，但在使用过程中，遇到“Connection refused”错误却十分常见。这个错误意味着客户端向服务器发起的连接请求被拒绝， 根本原因可能有多种，本文将帮你系统化、专业化地排查与解决这一问题。

什么是“Connection Refused”？

收到“Connection refused”错误。简单就是服务器明确拒绝了你的连接请求。

为什么会出现此错误？

• SSH服务未启动或崩溃：服务器上没有运行sshd守护进程。
• 防火墙阻止端口访问：本地或远程防火墙规则屏蔽了22端口。
• 网络不通或IP配置错误：目标服务器IP地址不正确或无法访问。
• SSH配置文件异常：/etc/ssh/sshd_config文件配置有误导致服务无法正常启动。
• 端口被修改或占用：服务器的SSH服务可能不监听默认的22端口，或者其他程序占用了该端口。

系统化排查与解决步骤详解

步骤一：确认目标服务器IP和网络连通性

检查IP地址是否正确及可达性是第一步。

1. ping : 测试网络是否连通。如果ping不通，说明存在网络层面的问题，需要排查路由、防火墙、VPN等因素。
2. traceroute : 查看数据包传输路径，有助于判断中间节点是否阻断通信。
3. telnet 22: 检测能否访问SSH默认端口。如果提示“Connection refused”， 说明该端口没有开放或被屏蔽；如果超时则可能是网络不可达或被丢弃包。

*实际案例*

*小王尝试远程登录公司云主机， 但发现ping可以通，telnet却显示connection refused。经确认，公司防火墙对外开放22端口策略未生效，是原因所在。*

---

步骤二：检查并启动SSH服务

*常见操作系统下检测及启动命令如下*：

操作系统	检测状态命令	启动命令
CENTOS/REDHAT 系列	systemctl status sshd.service	systemctl start sshd.service systemctl enable sshd.service #开机自启
IDEBIAN/UBUNTU 系列	systemctl status ssh.service 或 systemctl status sshd.service	systemctl start ssh.service systemctl enable ssh.service #开机自启
SYSTEM V INIT 脚本	/etc/init.d/sshd status 或 /etc/init.d/ssh status	/etc/init.d/sshd start 或 /etc/init.d/ssh start

*若提示“Unit not found”， 则说明未安装OpenSSH Server，需要安装后再启动。*

*张工发现某Ubuntu机器无法ssh登录， 经诊断发现sshd未启动，他施行sudo systemctl start ssh.service,成功恢复远程连接。*

---

步骤三：确认OpenSSH Server软件已正确安装和配置无误

*在部分最小化安装环境里没有预装OpenSSH Server导致无服务监听。确认方法如下：*

• CENTOS/RHEL系列：

  rpm -qa | grep openssh-server
  # 无输出则需安装：
  yum install -y openssh-server
  # 安装完成后重启sshd
  systemctl restart sshd.service
  

• IDEBIAN/UBUNTU系列：

  dpkg -l | grep openssh-server
  # 若无则安装：
  apt-get update && apt-get install -y openssh-server
  # 启动并设置开机自启：
  systemctl restart ssh
  systemctl enable ssh
  

• *确认/etc/ssh/sshd_config 文件内容合理，无语法错误。 可配置合法性： sshd -t, 若无输出表示配置合法。 若报错需修正相应行内容后重启服务。

---

步骤四：检查并调整防火墙与平安组规则设置

*即使ssh服务正常运行， 如果防火墙策略阻止了TCP 22端口，也同样导致“Connection refused”。所以呢， 需要检查以下几个方面*：

a. 本地防火墙设置检查和放行示例：

• CENTOS/RHEL使用firewalld管理时：

  firewall-cmd --list-all             #查看当前允许的服务和端口
  firewall-cmd --add-service=ssh --permanent   #添加永久允许ssh服务
  firewall-cmd --reload               #重新加载firewalld规则
  firewall-cmd --list-ports           #查看当前打开的所有端口
  # 如果你使用的是iptables，可以用下面命令查看相关规则:
  iptables -L -n | grep :22
  iptables -I INPUT -p tcp --dport 22 -j ACCEPT   #允许TCP22入站流量
  service iptables save                          #保存规则
  

• IDEBIAN系常用ufw管理:

  ufw status verbose               #查看状态和允许情况
  ufw allow ssh                    #放行默认tcp22端口
  ufw reload                      #重新加载规则
  # 若禁止状态，可施行：
  ufw enable                     #开启ufw防火墙，并确保允许ssh后重连避免锁死
  .

• AWS、阿里云等云主机平安组需登录控制台核实入站规则是否放通TCP协议的22号端口。 否则外网请求无法到达服务器，自然出现connection refused。

  ---

  b. 客户机本地防火墙或代理软件影响排查:

  • *Windows用户请注意关闭杀软中的网络保护模块， 如Windows Defender Firewall临时关闭， 测试；Mac用户关闭Little Snitch等网络拦截软件；Linux用户核实iptables/nftables规则是否限制出站TCP流量。*
  • *可以尝试从另一台设备进行测试，以排除本地环境问题。*

  ---

  步骤五：核实SSH监听端口与多实例冲突问题

  *默认情况下OpenSSH监听TCP 22端口。但若修改过配置文件，或者有其他程序占用了该端口，会导致连接被拒绝。具体操作如下*:

  • .编辑配置文件：

    sudo vim /etc/ssh/sshd_config
    # 查找Port字段是否被修改， 比方说改为2222:
    Port 2222
    # 如果更改过请记住新端口号，在客户端使用:
    ssh user@ip -p 新端口号
    # 保存退出后重启SSHD:
    sudo systemctl restart sshd
    .

  • .检查当前监听情况：

    sudo netstat -tulpn | grep sshd 
    # 或者 
    sudo ss -tlnp | grep sshd
    # 确认哪一个接口与哪个端口在监听。
    如果看不到对应的tcp 0.0.0.0:22或::表示没有正确绑定。
    .

  • .查询是否有进程占用：

    sudo lsof -i tcp:22 
    # 如果显示其他程序占用，可以考虑kill掉冲突进程。
    .

    ---

    高级篇——深入解析底层原理及优化建议

    1. SSH协议握手过程简介及为何会产生connection refused？

    当客户端发起TCP三次握手请求至服务器指定PORT时 若此PORT无人响应，内核直接返回RST信号给客户端，从而引发connection refused，即拒绝建立连接。这也是区别于“timeout”的关键点——timeout代表数据包丢失等待超时而refused代表主动拒绝连接请求。

    2. 使用日志定位故障关键点

    • 审阅服务器日志文件 /var/log/auth.log 或 /var/log/secure,寻找关于sshd启动失败、认证失败等记录。比方说：

      # tail -100 /var/log/auth.log | grep sshd 
      Apr 26 09:41:sshd: Failed password for root from xx.xx.xx.xx port xxxx ...
      Apr 26 09:sshd: Server listening on :: port xx.
      ...
                  

    • 一边通过施行:

      # journalctl -u sshd 
      Apr XX XX:sshd: error messages or service failure notices.
      及时获取最新日志帮助分析。
      
      常见场景下快速解决方案 
      
      问题现象        
      快速定位措施      
      解决方案指引
      
      无法ping 通 IP         
      网络不通             
      排查物理链路、 VPN、网卡设置
      ping 通但 telnet ip  port=22 connection refused       
      服务未运行、防火墙阻止          
      
      
      
      检查并启动 SSH 服务
      
      调整防火墙策略放行 TCP22
      
      
      出现 Port 非标准值            
      
      确认 SSH 配置中 Port 设置          
      
      更改客户端对应新 Port 参数进行连接
      
      
      日志中频繁出现认证失败         
      
      账户权限、密钥认证异常         
      
      核实账号密码／公钥授权目录 ~/.ssh 权限
      
      
      云主机平安组拒绝            
      
      云平台策略屏蔽 TCP 外部访问        
      
      添加平安组入站允许 TCP22 或对应 SSH 自定义 Port
      
      
      与最佳实践建议 
      遇到 SSH “Connection Refused” 错误，不要慌！按上述流程逐步排查， 大多数问题都能快速定位解决：
      
      先确保 IP 和网络层面完全畅通;
      再确认 SSH 服务是否正常安装且运行中;
      细致检视防火墙、平安组以及本地权限控制;
      务必关注 SSH 配置文件合理性以及监听状态;
       **持续积累实践经验，比如搭建测试环境模拟故障，有助于提升自身故障处理效率** 。 建议关注官方文档和社区最新动态保持知识更新。               
      © 2024 — ——打造高效运维必备指南！©& nbsp;
      

---