阿里云国际站个人账号 阿里云服务器SSH连接方法

SSH连接前的准备工作

在开始连接之前，先别急着敲命令，得先做好几件"开锁"前的准备。就像你要进朋友家，得先确认他有没有给你钥匙，门锁有没有装好，不然你敲半天门，人家可能连门都没开。

1. 阿里云ECS实例就位

首先，你得有个阿里云服务器，这就像你得先有个房子才能开门进去。如果你还没买，赶紧去阿里云控制台买一台，选个合适的配置。不过买完别急着跑，记得选Linux系统，比如CentOS或者Ubuntu，毕竟Windows的SSH连接方式不太一样，咱先专注Linux场景。记得选好区域，别选了个离你十万八千里的服务器，否则连个网页都卡成PPT，更别说SSH了。

阿里云国际站个人账号 2. 安全组配置

安全组就像小区的保安，得允许22端口（SSH默认端口）的访问，否则外面的人连门都敲不到。打开阿里云控制台，找到实例的安全组设置，添加入方向规则，协议选择SSH，端口22，来源IP可以填0.0.0.0/0（不过为了安全，建议填你自己的IP）。别嫌麻烦，这一步要是漏了，后面所有操作都是白费力气，就像你把钥匙给了朋友，但门锁换了，人家怎么进？有个朋友去年把安全组规则删了，结果自己连不上服务器，打电话问我"服务器是不是挂了"，我一看才明白——门都没开，当然进不去啊！

3. 密钥对生成

SSH连接有两种方式：密码登录和密钥登录。推荐用密钥，更安全。在阿里云控制台里，生成密钥对，下载私钥文件（.pem后缀），保管好。注意，私钥别发给任何人，否则别人就能用你的钥匙开锁了。如果你是Windows用户，可能需要把.pem转换成.ppk格式才能用PuTTY，后面会教怎么转换。曾经有个同事把私钥文件直接传到公司群，结果服务器被黑了，他说"我只是想分享一下"，我说"你这分享的是个定时炸弹啊！"

命令行工具连接（Linux/Mac用户请进）

如果你用的是Mac或者Linux，那恭喜你，SSH命令行工具已经内置了，打开终端就能用。不过先别急着敲命令，先把私钥权限改正确。记得我之前说的钥匙权限问题吗？没错，这一步特别重要。

1. 修改私钥权限

用chmod命令给私钥文件加权限。比如你的私钥文件叫mykey.pem，执行：

chmod 400 mykey.pem

这一步是什么意思呢？就是告诉系统："这钥匙只有我能看，别人都不能碰"。如果你不改权限，系统会拒绝使用，毕竟谁都能看的钥匙，安全性太低了。曾经有个朋友没改权限，结果一直连不上，后来我告诉他："你这钥匙随便放桌上，系统能信你吗？"他赶紧改了权限，瞬间连上了，还感慨"这chmod真是个好东西！"

2. 执行SSH连接命令

现在可以连接了。命令格式是：

ssh -i mykey.pem 用户名@服务器公网IP

比如用户名是root，IP是123.123.123.123，那命令就是：

ssh -i mykey.pem [email protected]

敲下回车，如果一切顺利，恭喜你，成功进入服务器！如果遇到"Permission denied"错误，先检查私钥路径对不对，权限对不对，还有用户名是否正确。阿里云默认的用户名可能是root（CentOS）或者ubuntu（Ubuntu），别用错啦。我有个同学用Ubuntu系统却用root登录，结果一直报错，后来发现是用户名搞错了，他说"这比密码错了还冤枉"。

Windows用户必看：PuTTY连接指南

Windows没有内置SSH客户端，不过别慌，PuTTY是免费又好用的工具，专门干这个活。下载安装PuTTY之后，还得把阿里云的.pem私钥转成PuTTY能用的.ppk格式。

1. 转换密钥格式

下载PuTTYgen工具（和PuTTY一起安装），打开后点击"Load"，选择你的.pem文件，然后点击"Save private key"保存为.ppk文件。注意保存的时候别改后缀，确保是.ppk。这一步就像把钥匙磨成适合特定锁的形状，不然PuTTY认不出来。有个朋友把.ppk文件存到U盘，结果U盘插到新电脑上连不上，后来发现他把文件名改成"key123.ppk"了，但实际保存的时候后缀是"key123.ppk.ppk"，结果系统当成了文本文件……这操作真是让人哭笑不得。

2. 配置PuTTY会话

打开PuTTY，在"Session"里输入服务器公网IP，端口默认22。然后在"Connection" -> "SSH" -> "Auth"里，点"Browse"选择刚才生成的.ppk文件。接着回到"Session"页面，输入会话名称，点"Save"保存配置。以后直接双击这个会话就能连，省得每次重新输入。连接时可能会提示"服务器指纹未知"，点击"是"即可。第一次连接成功后，以后就不会再提示了。如果还是连不上，检查安全组是否放行22端口，或者密钥是否正确。有时候连不上别急，深呼吸，想想是不是哪里漏了步骤，比如私钥文件没选对，或者IP填错了。

阿里云控制台自带的连接工具（应急神器）

有时候你连本地SSH都连不上，比如网络问题或者密钥丢了，这时候别慌，阿里云控制台有个"远程连接"功能，可以直接通过网页连接服务器。点击实例详情页的"远程连接"按钮，选择"VNC"或者"Web终端"，输入用户名和密码（如果是密码登录的话）就能进去。

这个方法虽然不如SSH方便，但胜在简单，特别适合紧急情况。比如你改了防火墙设置导致自己进不去，或者忘记私钥了，这时候用Web终端救场，改回正确设置后再用SSH连。不过注意，Web终端可能有点卡，而且操作不如本地终端流畅，但关键时刻能救命。上次我有个客户服务器被黑了，他急得跳脚，我让他用Web终端进去改了密码，这才化险为夷。他说"这工具比救命稻草还管用！"

常见问题排查

连接服务器时遇到问题？别急，咱们一个一个来解决。

连接被拒绝？检查安全组

如果你看到"Connection refused"或者"Connection timed out"，大概率是安全组没开22端口。登录阿里云控制台，找到实例的安全组设置，确认入方向规则里有SSH（22端口）允许访问。有时候你可能设置了IP白名单，但自己IP变了没更新，结果连不上，这时候可以临时改成0.0.0.0/0试试，但记得之后改回自己的IP。有个朋友把安全组规则设成只允许192.168.1.100访问，结果自己家里网络一变IP就进不去了，他以为服务器挂了，其实只是自己IP变了，这操作简直"自作自受"。

权限错误？chmod来帮忙

在Linux/Mac上，如果出现"Permissions for 'keyfile' are too open"，说明私钥文件权限不对。用chmod 400 keyfile.pem修改权限即可。Windows用户用PuTTY的话，一般不会遇到这个问题，但如果你手动改了.ppk文件权限，也要注意别设太松。有个同事把私钥权限设成777，结果SSH直接拒绝，他说"这钥匙怎么不管用啊？"，我告诉他："你这钥匙随便给人看，谁都能拿，系统能不拒绝吗？"

密钥错误？检查格式和内容

如果你的密钥格式不对，比如.pem文件被不小心修改过，或者转换成.ppk时出错，就会提示"Server refused our key"。这时候重新生成密钥对，或者用PuTTYgen重新转换。另外，确保你用的密钥和服务器上配置的公钥匹配。如果服务器上的公钥被误删，只能通过控制台重置密码或者重新上传公钥。

忘记密码？重置方法

如果你用密码登录，但忘了密码，别慌。在阿里云控制台里，可以重置实例密码。不过注意，这需要实例处于停止状态，重置后重启。但如果你用的是密钥登录，通常不需要密码，所以建议优先用密钥登录，避免密码遗忘的烦恼。

安全小贴士：让服务器更安全

连接上服务器后，别以为万事大吉。下面几个安全建议，帮你把服务器保护得更好。

别用root直接登录

root权限太大，一旦被破解，整个服务器就完了。建议创建普通用户，用sudo提权。比如新建一个用户myuser：

adduser myuser
usermod -aG sudo myuser

然后修改SSH配置文件/etc/ssh/sshd_config，把PermitRootLogin设为no，重启SSH服务。这样root就不能直接登录了，必须先用普通用户登录再提权，多一层安全。我见过太多人直接用root，结果被黑客盯上，服务器直接变矿机，这教训太惨痛了。

定期更换密钥

密钥虽然安全，但也不是一劳永逸。定期更换密钥对，比如每半年换一次，减少泄露风险。换密钥时，先上传新的公钥到服务器，测试新密钥能连上，再删除旧的公钥，这样就不会把自己锁在外面。有个朋友一年没换密钥，结果被泄露了，他说"我以为密钥能用一辈子"，结果服务器被黑了，赶紧重装系统，哭晕在厕所。

关闭密码登录，只用密钥

在/etc/ssh/sshd_config里，把PasswordAuthentication设为no，这样就只能用密钥登录，防止暴力破解密码。不过记得先确认密钥能连上，否则设置完之后就进不去了，那就尴尬了。我建议先开个新终端窗口测试，确认能连上再关密码登录，这样就不怕把自己关门外了。

SSH连接看似简单，但细节决定成败。从准备工作到连接成功，每一步都可能埋雷。但只要按步骤来，注意细节，问题都不大。下次再遇到连接失败，别急，先想想安全组、权限、密钥对这些常见问题，90%的情况都能解决。记住，服务器就像你的数字领地，保护好它，才能安心享受科技带来的便利。