SSH 无法远程登录问题的处理思路

购买云服务器 ECS(后续简称 ECS)Linux 服务器后,首先面临的就是如何登录和使用的问题。而由于服务器在云端,所以日常运维中通常都会基于 SSH 客户端登录服务器进行相关操作。今天,我们就从登录 ECS 的不同方法和使用场景讲起,捋清 SSH 无法远程登录问题的常见原因与排查思路。

ECS Linux 服务器的登录方式


ECS Linux 不同登录方式示意图

如上图所示,当前 ECS Linux 支持 3 种不同的登录方式,其操作说明与使用场景如下:


1.管理终端(远程连接)

  • 使用场景:当出现 ECS 启动异常、网络中断或 SSH 无法正常连接等情况时,可以通过管理终端(远程连接)功能直接连接服务器。它基于 VNC 技术,相当于在 ECS 上直连了一台虚拟的显示器(含鼠标、键盘)
  • 操作说明:管理终端的使用方法,可以参阅 产品文档

2.SSH

  • 使用场景:标准的 Linux 服务器连接方式。您可以通过各种 Linux SSH 客户端连接、登录 ECS,进行服务器的运维和管理工作。
  • 操作说明:使用常用 SSH 客户端连接、登录 ECS Linux 服务器的操作方法,可以惨阅 产品文档

3.SSH 密钥对

  • 使用场景:基于密钥对的免密码登录,降低了密码泄露的风险,提高了操作的安全性,同时也便于服务器的批量运维。
  • 操作说明:SSH 密钥对的使用方法,可以参阅 产品文档

SSH 无法远程登录问题的常见原因与处理思路

如前所述,SSH 客户端是 ECS Linux 服务器的主要的运维途径。而网络、服务器配置、SSH 服务配置等多种因素均可能会导致 SSH 连接或登录过程出现异常。接下来会先介绍影响 SSH 连接或登录的常见因素,然后说明此类问题的分析处理思路。

SSH 连接登录相关因素


SSH 连接登录相关因素示意图

如上图所示,多种因素均可能会导致客户端通过 SSH 连接或登录服务器出现异常,包括但不限于:

  • 客户端软件或软件配置问题
  • 客户端网络问题
  • 中间链路问题
  • 云盾、ECS 安全组或系统内 iptables 等安全配置问题
  • Linux 系统 PAM 安全模块配置问题
  • Linux 系统环境配置问题
  • SSH 服务及参数配置问题
  • SSH 服务关联的目录或文件的属性配置问题
  • SSH 服务密钥配置问题

SSH 无法远程登录问题处理思路


SSH 无法远程登录问题处理思路示意图

如果 SSH 无法正常连接或登录,可以参阅上图,通过如下步骤逐一进行排查分析:

1. 检查客户端软件配置与网络配置

通过如下方法做对比分析,以判断是否是客户端软件、软件配置或客户端网络存在异常,导致无法正常 SSH 连接或登录服务器:

  • 重启家用路由器,或通过 4G 热点共享的方式,切换到不同的网络做对比测试
  • 基于相同账户,使用不同的 SSH 客户端软件做对比访问测试

2. 检查中间网络

通过如下方法对中间网络做判断和对比分析,以判断是否是中间网络引发的异常:

  1. ping 服务器 IP ,看是否正常。比如:ping 223.5.5.5

    • 如果正常,则说明客户端到服务端的中间链路是正常的。
    • 如果不正常,则可以参阅如下文档针对客户端到服务器之间的网络做进一步排查分析:
      • ping 丢包或不通时链路测试说明
      • 能 ping 通但端口不通时端口可用性探测说明
      • 网络异常时抓包操作说明
  2. telnet <服务器 IP> ,看是否正常。比如: telnet 223.5.5.5 22
    • 正常情况下,如下图所示,会返回服务端 SSH 软件版本号信息:
    • 如果不正常,则说明可能是 SSH 服务异常或被云盾、安全组等拦截所致,则参阅后续步骤继续排查分析。

3. 安全配置检查

通过如下方法,对 SSH 连接相关安全因素进行排查分析:

  1. 通过 淘宝 IP 地址库 等网站获取本地网络出口公网 IP 后,到云盾控制台 查询相关访问是否被云盾拦截。
  2. 检查服务器归属安全组规则,确认对客户端做了访问放行。
  3. 检查服务器内部 iptables 等安全配置,确认对客户端做了访问放行。

4. SSH 服务与监听状态检查

通过如下方法,检查 SSH 服务自身运行状态:

  1. 可以通过 管理终端 进入服务器。
  2. 通过如下指令检查 SSH 服务运行状态。如果服务运行正常,则会返回运行状态及相应进程 PID:
    [root@centos ~]# service sshd status
    openssh-daemon (pid 31350) is running…
    [root@centos ~]# service sshd restart
    Stopping sshd: [ OK ]
    Starting sshd: [ OK ]
  3. 通过如下指令检查 SSH 服务的端口监听状态。正常情况下会返回相应端口监听信息:
    netstat -ano | grep 0.0.0.0:22
    tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN off (0.00/0/0)
    • 0.0.0.0 表示监听所有网卡
    • 如果配置仅监听内网网卡,比如10.126.3.45:22,则只能通过内网进行 SSH 登录
  4. 在系统内通过类似 ssh 127.0.0.1 的方式做对比测试,以判断 SSH 服务连接是否正常:

用法: ssh -p <SSH 端口号,如果是默认的 22,则无需输入> 127.0.0.1 比如:

ssh 127.0.0.1
ssh -p 2022 127.0.0.1

如果上述登录测试正常,则说明 SSH 服务本身运行与监听是正常的。则通过后续步骤做进一步排查分析。

5. SSH 登录错误进一步分析

如果确认 SSH 服务及外部网络链路正常,则可以通过如下方法,进一步检查 SSH 登录具体错误信息,然后结合历史案例做相应分析和处理:

  1. 配置实时查看 SSH 服务端安全日志:
    通过管理终端进入服务器。通过类似如下指令实时查看 SSH 服务端安全日志:

    CentOS 服务器:tailf /var/log/secure
    Ubuntu 服务器:tailf /var/log/auth
  2. 开启客户端 SSH debug 模式,获取客户端详细登录日志:
    如果客户端是 Linux 环境,则可以通过如下指令,获取详细的 SSH 登录交互日志:

    ssh -vvv <服务器 IP>

    比如:

    [root@centos~]# ssh -vvv 192.168.0.1
    OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
    debug1: Reading configuration data /etc/ssh/ssh_config
    debug1: Applying options for *
    debug2: ssh_connect: needpriv 0
    debug1: Connecting to 192.168.0.1 [192.168.0.1] port 22.
    debug1: connect to address 192.168.0.1 port 22: Connection timed out
    ssh: connect to host 192.168.0.1 port 22: Connection timed out
    ...
  3. 参阅 历史案例,结合前述步骤获取的 SSH 客户端及服务端的日志进行对比分析和处理。

附录:SSH 登录原理

可以参阅如下文档,了解 SSH 服务连接登录的相关原理,以便知其然知其所以然,更好的支撑此类问题的排查分析:

  • 云服务器 ECS Linux SSH 连接交互过程简介
  • 云服务器 ECS Linux SSH 基于密钥交换的自动登录原理简介及配置说明

本期分享专家:本期分享专家:五贤,搞过开发,玩过小机、AIX,目前在阿里云从事云产品技术支持,专注于云计算相关的系统运维。奉行“上天给了人两只手,两只眼,而只有一张嘴。就是要让我们多动手,多观察,少耍嘴皮。”

时间: 2024-10-28 22:34:06

SSH 无法远程登录问题的处理思路的相关文章

菜鸟学Linux命令:ssh命令 远程登录

1.查看SSH客户端版本 有的时候需要确认一下SSH客户端及其相应的版本号.使用ssh -V命令可以得到版本号.需要注意的是,Linux一般自带的是OpenSSH: 下面的例子即表明该系统正在使用OpenSSH: $ ssh -V  OpenSSH_3.9p1, OpenSSL 0.9.7a Feb 19 2003 下面的例子表明该系统正在使用SSH2: $ ssh -V  ssh: SSH Secure Shell 3.2.9.1 (non-commercial version) on i68

SSH原理与运用(一):远程登录

SSH是每一台Linux电脑的标准配置. 随着Linux设备从电脑逐渐扩展到手机.外设和家用电器,SSH的使用范围也越来越广.不仅程序员离不开它,很多普通用户也每天使用. SSH具备多种功能,可以用于很多场合.有些事情,没有它就是办不成.本文是我的学习笔记,总结和解释了SSH的常见用法,希望对大家有用. 虽然本文内容只涉及初级应用,较为简单,但是需要读者具备最基本的"Shell知识"和了解"公钥加密"的概念.如果你对它们不熟悉,我推荐先阅读<UNIX / Li

SSH远程登录原理与运用

SSH是每一台Linux电脑的标准配置.   随着Linux设备从电脑逐渐扩展到手机.外设和家用电器,SSH的使用范围也越来越广.不仅程序员离不开它,很多普通用户也每天使用.   SSH具备多种功能,可以用于很多场合.有些事情,没有它就是办不成.本文是我的学习笔记,总结和解释了SSH的常见用法,希望对大家有用.   虽然本文内容只涉及初级应用,较为简单,但是需要读者具备最基本的"Shell知识"和了解"公钥加密"的概念.   一.什么是SSH?   简单说,SSH是

日志-ssh root远程不能登录

问题描述 ssh root远程不能登录 上次遇到ssh无法远程登录,连密码确认框都不会弹出,捣鼓了一天,又发现新的问题了,centos 系统安装里的denyhosts,开始每次登陆,无论谁的电脑,甚至是别的城市的电脑登陆,无论密码对错,全部被加入到hosts.deny中 后来直接清空日志,把这个服务停止了,然后再看hosts.deny没有被加入,而且也能弹出密码输入确认框. 现在的问题是sshd服务正常,关闭Selinux,关闭防火墙,端口未占用,可就是远程连接不上.真是郁闷里的啊. 解决方案

如何远程登录ubuntu

一台主机名 server ip 192.168.0.100, 另一台 client ip 192.168.0.200 在client上用ssh协议远程登录server 首先server和client都要安装ssh:sudoapt-get install ssh 其他的linux系统可以下载rpm包安装或者源码安装 在server和client上启用ssh服务 /etc/init.d/ssh restart (我是重启服务,直接启用就start 停止stop) 首先用普通用户user试试: 打开c

在Windows上通过putty远程登录CentOS

目的:在windows上通过putty(或者secureCRT)远程登录centos6.5 硬件:centos6.5服务器一台,windows客户机一台 软件:ssh.putty(或者SecureCRT)   centos6.5端操作步骤 yum install openssh-server 安装过程中,系统会自动配置好,如果找不到包,就更新一下软件源.   更新软件源步骤: 1. 删除之前的更新列表 sudo rm /var/lib/apt/lists/* -rvf   2. 清理一下垃圾:

CISCO路由器TELNET和SSH远程登录的配置实例

一.TELNET远程登录配置 1.配置CISCO路由器上登录账号.口令.账号级别,如下所示,账号名abc.口令为abc123.账号级别为15(最高级别) R1#configure terminal R1(config)#username abc privilege 15 secret abc123 R1(config)#end R1# 2.配置CISCO路由器远程登录认证机制,如下所示,配置路由器本地认证 R1#configure terminal R1(config)#line vty 0 4

Linux命令之远程登录/无密码登录-ssh,ssh-keygen,ssh-copy-id

SSH是一种安全通道协议,主要用来远程登录.在RHEL 5系统中使用的是OpenSSH服务器由openssh, openssh-server等软件包提供的(默认已经安装),并以将sshd添加为标准的系统服务.使用方法如下: $ ssh host $ ssh username@host $ ssh -p 222 username@host -p:指定访问端口;如果省略该参数,则默认访问SSH服务的默认端口22; 如果是第一次登录对方主机,则系统会出现一下提示: The authenticity o

Putty开源的SSH远程登录软件使用指南

Putty是一个优秀的,开源的SSH远程登录软件,它不仅可以实现登录,还有很多高级的功能 SSH登录说明:HOST&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;KEY唯一标识一台主机 host key (ssh only)  prevent spoofing attack EVENT LOG记录控制信息 操作:复制是直接用鼠标左键拖拉选中就可以了,不用按Ctrl+C,双击选中一个单词,三击选中一行;粘贴也很简单,