问SSH连接拒绝:另一个为堆！请检查故障排除过程

EN

首先:了解应该发生的事情的基本原理。

Windows桌面上的SSH客户端进程应该连接到DigitalOcean VM上的TCP端口22。一旦建立了连接，它就应该使用SSH密钥作为用户root进行身份验证。

这意味着您不需要桌面上的sshd (或"ssh服务“)：只有当您希望允许入站SSH连接到您的桌面时，才需要它。

你被“拒绝了连接”。这意味着以下几点之一：

• 您可能没有云VM的正确IP地址(对于云VM，VM内部看到的本地IP地址可能与云基础结构提供给internet的地址不同)。
• 本地网络可能需要使用代理来访问本地网络之外的服务(在工作场所网络中常见)。
• 数字海洋VM可能根本不运行
• 在指定允许的源IP地址之前，云中的VM防火墙可能不会允许传入SSH连接
• 您可能必须使用Digital的web /API来启用云VM上的SSH服务。

一旦可以建立到VM的SSH端口的基本TCP连接，就可以继续对身份验证进行故障排除。

如果访问SSH端口的权限不限于已知的IP地址，则允许在云VM上进行密码验证的登录是一个<#>very错误的想法:有被黑客攻击的服务器和自动恶意软件将花费全部时间扫描互联网上启用SSH的主机，并试图暴力攻击任何知名的用户帐户，包括root。

sshd ( SSH服务)甚至有一个特殊的设置，它可以强制直接登录为root，或者总是被拒绝，或者只接受密钥身份验证，即使其他用户可以启用密码身份验证。强烈建议云服务使用该设置。

如果一个VM是由多个人维护的，那么使用个人用户帐户登录，然后使用sudo可以更容易地使用日志来找出是谁做的--如果有必要怎么办。云提供商可能要求您使用非root的特定用户帐户进行初始登录；一旦首次成功连接并获得根访问权限，显然可以根据需要配置VM。

通常，云提供商将为VM的初始SSH访问提供预先生成的SSH私钥。有几种可能的密钥文件格式：*.ppk文件用于PuTTY，这是一个常见的免费Windows客户端(现在也可用于Linux)，而没有特定后缀的id_*用于OpenSSH。通常，可以使用相应的密钥生成器工具将密钥从一种格式转换为另一种格式(如PuTTYgen keyfile.ppk -O private-openssh -o id_openssh，用于将*.ppk文件转换为OpenSSH格式)。

如果您使用的是WSL的命令行SSH客户端，这是OpenSSH的一种形式。通常，OpenSSH在本地用户主目录的.ssh子目录(根据所使用的算法命名为id_rsa、id_dsa、id_ecdsa、id_ed25519等)中查找默认私钥。如果存在任何这些私钥文件，客户端将自动将它们提供给远程服务器，如果它允许基于密钥的身份验证。

在WSL上，Unix样式主目录的位置可能不那么明显，因此您可能希望使用-i选项显式指定要使用的私钥文件。

在使用密钥身份验证时，仍然必须指定正确的用户名，因此SSH命令可能如下所示：

ssh -i /some/where/id_digitalocean_privatekey root@123.456.78.911

首先。不要使用此设置。其实你根本不想用那些MACs电脑！

您试图启用密码身份验证吗？就为了看看这个有用吗？您还检查了/var/log/auth.log吗？您在/etc/ sshd /sshd_config中增加了sshd日志记录的详细程度吗？

对我来说，它更多地关注的方向是，sshd守护进程没有正确地侦听端口22。这就是为什么你被拒绝了连接。您可以使用nmap检查该端口是否真的打开。

sudo nmap -sSV -O -p 22 -v9 destination_IP