云端部署Llama 3 SSH连接被拒？安全组与密钥权限修复指南

部署Llama 3时，SSH连接报出“Connection refused”是常见障碍。别在密钥对上浪费时间，问题的根源通常指向两个方向：云平台安全组规则未放行，或是本地私钥文件权限设置不当。

“连接被拒绝”意味着TCP握手在初始阶段就已失败，请求甚至未能抵达服务器的SSH服务端口。这为我们指明了清晰的排查路径，以下是需要逐一核对的五个关键环节。

一、检查并修正云平台安全组入站规则

安全组是云服务器的虚拟防火墙，负责控制入站和出站流量。若入站规则未明确放行SSH端口（默认22），所有外部连接请求将在网络层被静默丢弃，客户端随即收到拒绝响应。

操作流程：登录云服务商控制台（如AWS、阿里云、腾讯云），定位目标ECS/EC2实例，进入其关联的安全组配置页面。重点检查“入方向”规则，确保存在一条允许TCP协议、端口22的规则，且源地址（Source）配置正确。为快速测试，可临时设置为0.0.0.0/0（允许所有IP），但生产环境务必收紧为你的特定公网IP段。规则添加后通常有短暂延迟，稍候重试连接。

二、修复本地私钥文件权限（Linux/macOS）

若安全组无误，但连接提示“Permission denied (publickey)”，则焦点应转向本地私钥权限。OpenSSH客户端强制要求私钥文件必须严格保密，任何过宽的权限都将导致其被拒绝使用。

在终端执行ls -l ~/.ssh/id_rsa查看权限。正确的权限应为-rw-------（即600，仅所有者可读写）。若显示为644等，需立即修正：chmod 600 ~/.ssh/id_rsa。同时，确保.ssh目录权限为700：chmod 700 ~/.ssh。权限修正后，SSH客户端方能正常读取私钥进行身份验证。

三、修复本地私钥权限（Windows + OpenSSH客户端）

Windows环境下，仅通过Git Bash或WSL执行chmod命令是无效的，因为它不修改NTFS文件系统的实际访问控制列表（ACL）。SSH客户端会校验NTFS的真实权限。

正确方法是使用Windows原生工具icacls。以管理员身份打开PowerShell或CMD，执行以下命令（请替换实际路径）：首先移除继承权限：icacls "C:\path\to\id_rsa" /inheritance:r。然后授予当前用户读取权限：icacls "C:\path\to\id_rsa" /grant:r "%USERNAME%:(R)"。最后用icacls "C:\path\to\id_rsa"验证，确认仅当前用户拥有“R”（读取）权限。完成后重启终端并重试连接。

四、验证服务器端SSH服务状态与监听地址

如果前述步骤均未解决问题，需检查服务器自身的SSH服务状态。通过云控制台的VNC或串口登录实例内部进行诊断。

运行sudo systemctl is-active sshd确认服务为“active”。更关键的是，使用sudo ss -tlnp | grep :22查看监听地址。若输出仅为“127.0.0.1:22”，则表明SSH服务仅监听本地回环地址，需编辑/etc/ssh/sshd_config文件，确保ListenAddress 0.0.0.0（或指定服务器内网IP）未被注释，保存后执行sudo systemctl restart sshd重启服务。

五、排查SELinux或AppArmor强制访问控制干扰

在某些强制启用安全模块的Linux发行版上，SELinux（CentOS/RHEL）或AppArmor（Ubuntu）可能会阻止sshd进程读取用户的~/.ssh/authorized_keys文件，导致认证失败。

针对SELinux：使用getenforce查看状态，若为“Enforcing”，可尝试执行sudo restorecon -Rv ~/.ssh来恢复目录的正确安全上下文。针对AppArmor：运行sudo aa-status | grep ssh查看相关配置，若有问题，可通过sudo aa-logprof工具生成或调整策略。策略调整后，同样需要重启SSH服务。

遵循此系统性排查流程，绝大多数SSH“Connection refused”错误都能被定位并解决。稳定的远程访问是云端部署的基础，确保这些底层配置的准确性至关重要。