sshd_config语法错误导致服务启动失败,应先用sshd -t验证配置并定位错误行;无备份时用sshd -T对比默认值修复;连接中断需检查PermitRootLogin、PasswordAuthentication等关键选项;端口变更须配置SElinux标签和防火墙规则;路径和文件权限必须严格符合要求。
sshd_config 语法错误导致服务启动失败
修改 /etc/ssh/sshd_config 后执行 systemctl restart sshd 报错退出,或直接提示 Failed to start OpenSSH server daemon,基本可判定是配置语法问题。OpenSSH 对格式极其敏感:多一个空格、少一个引号、拼错关键字(比如写成 PermitRootLogin 漏了末尾的 n)都会拒绝加载。
恢复操作优先使用本地终端(非 SSH)执行:
- 运行
sshd -t—— 这是唯一能快速验证配置合法性的命令,会输出具体出错行号和原因,例如line 25: Bad configuration option: permitrootlogin - 若已无法启动,先用
cp /etc/ssh/sshd_config{.bak,}还原备份(前提是之前有备份);没有备份则用sshd -T查看当前生效配置的默认值,再手动比对修复 - 切勿直接用
vi编辑时删除整段配置——某些选项(如HostKey路径)缺失会导致服务静默失败,sshd -t反而不会报错
关键选项误设引发连接拒绝
服务能启动但 SSH 客户端连上即断,或提示 Connection closed by remote host,常见于以下几类配置项被错误关闭:
-
PermitRootLogin no+ 你只记住了 root 密码,没配其他用户 → 改为yes或确保AllowUsers包含你的账户 -
PasswordAuthentication no且未提前配置好密钥登录 → 临时启用密码登录:在配置中显式写PasswordAuthentication yes,并确认ChallengeResponseAuthentication未覆盖它 -
UsePAM yes开启但/etc/pam.d/sshd被误改 → 临时注释掉该行,或检查 PAM 日志journalctl -u sshd --since "1 hour ago" | grep pam
SELinux 或防火墙拦截新端口/协议
修改了 Port 或启用 ListenAddress 后无法连接,不一定是 SSH 配置本身问题。SELinux 默认只允许 ssh_port_t 标签绑定到 22 端口,换端口必须手动打标:
- 查当前端口标签:
semanage port -l | grep ssh - 若监听 2222,则加标签:
semanage port -a -t ssh_port_t -p tcp 2222 - 同时确认防火墙放行:
firewall-cmd --permanent --add-port=2222/tcp && firewall-cmd --reload - 注意:
systemctl stop firewalld是临时排查手段,不能替代规则配置;SELinux 关闭(setenforce 0)也仅用于验证,不是长期方案
恢复时最易忽略的两个点
一是 sshd_config 中的路径必须绝对且存在,比如 AuthorizedKeysFile .ssh/authorized_keys 实际要求路径相对于用户主目录,但若写成 /home/user/.ssh/authorized_keys 就会失败;二是所有涉及文件权限的设置(如 StrictModes yes)都依赖真实文件状态——.ssh 目录权限大于 755、私钥文件权限大于 600,都会导致认证跳过或拒绝,且日志里可能只写 Authentication refused,不提权限问题。