ssh连接失败，排错经验(转)

一、场景描述

ssh连接服务器，发现连接失败，但是对应服务器的ip能够ping通。

场景：

[root@yl-web ~]# ssh root@10.1.101.35
ssh_exchange_identification: read: Connection reset by peer
[root@yl-web ~]# ping 10.1.101.35
PING 10.1.101.35 (10.1.101.35) 56(84) bytes of data.
64 bytes from 10.1.101.35: icmp_seq=1 ttl=64 time=0.587 ms
64 bytes from 10.1.101.35: icmp_seq=2 ttl=64 time=0.722 ms
64 bytes from 10.1.101.35: icmp_seq=3 ttl=64 time=0.475 ms

ping是一个网络层的协议，只是表面网络在3层是通的；

ssh是应用层协议，具体还是从主机上找原因。

二、排错

1、ssh -v

用ssh -v去连有问题的服务器，会有比较详细的调试信息在屏幕上输出，可以帮助判断是哪一步出了问题。

主要是看是客户端还是服务器的问题。如果是客户端的问题，应该log中有写。如果是没有什么有用信息，就可能是服务器端出问题了。

[root@yl-web ~]# ssh -v root@10.1.101.35
OpenSSH_6.6.1, OpenSSL 1.0.1e-fips 11 Feb 2013
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 56: Applying options for *
debug1: Connecting to 10.1.101.35 [10.1.101.35] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_rsa-cert type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: identity file /root/.ssh/id_dsa-cert type -1
debug1: identity file /root/.ssh/id_ecdsa type -1
debug1: identity file /root/.ssh/id_ecdsa-cert type -1
debug1: identity file /root/.ssh/id_ed25519 type -1
debug1: identity file /root/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.6.1
ssh_exchange_identification: read: Connection reset by peer

2、连接服务器

现在看起来是服务器出问题了，虽然不能ssh到服务器，但一般来说主机会提供一些方法比去让你连接，比如通过物理终端连进去，具体情况具体对待了，总之就是要连接到服务器上。

3、写一个排错弯路，但也是有用的

如果有debug1: Connection refused by tcp wrapper之类的log可参考这一步。

就是说你的客户端ip可能被服务器给禁掉了，fail2ban或者其他的程序可能把你的客户端ip扔到/etc/hosts.deny中了。

通过vi /etc/hosts.allow查看

加上一行sshd: ALL。

然后重启ssh。

#service sshd restart

如果问题真的出在ip被禁，这样重启之后应该就ok了。

客户端重新ssh试一下：

[root@yl-web ~]# ssh -v root@10.1.101.35
OpenSSH_6.6.1, OpenSSL 1.0.1e-fips 11 Feb 2013
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 56: Applying options for *
debug1: Connecting to 10.1.101.35 [10.1.101.35] port 22.
debug1: connect to address 10.1.101.35 port 22: Connection refused
ssh: connect to host 10.1.101.35 port 22: Connection refused

说明我的问题不在这里。

4、两条有用的命令

在服务器上执行下面命令可以显示ssh的所有 log。

centos系统如下：

#service sshd stop
#/usr/sbin/sshd -d

如果是ubuntu可能命令是：sudo service ssh stop ，sudo /usr/sbin/sshd -d。

问题出现了： /var/empty/sshd must be owned by root and not group or world-writable。

是权限的问题了，查看一下。

我的权限变成777了，而sshd这个目录

正常情况该目录的权限应该是：

[root@yl-web ~]# ll /var/empty/
total 0
drwx--x--x. 2 root root 6 May 13 03:41 sshd

修改权限：

改好权限后重启sshd服务【service sshd restart】。客户端再ssh就ok，大功告成了。

5、命令简介

至此问题已解决，但是/usr/sbin/sshd -d又是什么意思呢？

# man sshd看一下这两个参数。

     -D      When this option is specified, sshd will not detach and does not become a daemon.  This allows easy monitoring of sshd.

     -d      Debug mode.  The server sends verbose debug output to standard error, and does not put itself in the background.  The server also will not fork and will only process one connection.  This
             option is only intended for debugging for the server.  Multiple -d options increase the debugging level.  Maximum is 3.

-d是debug模式，服务器会向屏幕输出详细的debug信息，服务器只能有一个ssh链接。

三、题外话

虽然问题解决了，回想一下为什么会出这个问题？因为我昨天在解决一个日志权限的问题时，暴力的将每层目录权限都设置成777，想试探一下是否是目录读写权限的问题，然后再缩小权限，结果影响到了ssh登录。

想想解决一个问题若不能知道原理，很容易放大问题，甚至出现新bug。写代码需谨慎，排错需谨慎，知其然不知其所以然很重要。

参考：

Connection Reset By Peer

本文作者starof,因知识本身在变化，作者也在不断学习成长，文章内容也不定时更新，为避免误导读者，方便追根溯源，请诸位转载注明出处：http://www.cnblogs.com/starof/p/4709805.html有问题欢迎与我讨论，共同进步。