CentOS 远程 SSH 无法连接问题排查与解决 MaxStartups 触发连接惩罚

在一次服务器运维过程中，遇到了一个典型但容易误判的问题：

服务器可以 ping 通，SSH 服务已启动，防火墙端口也已开放，但远程始终无法连接。

经过多轮排查，最终确认问题源于 sshd 的连接惩罚机制（MaxStartups）触发 。本文记录完整分析过程与解决方案。

一、问题现象

服务器基本情况：

• 系统：CentOS
• SSH：已启动
• 防火墙：已放行端口
• 网络：ping 正常

但远程连接表现为：

• SSH 连接卡住
• 或直接断开
• 无法进入认证阶段

二、关键日志分析

查看 SSH 日志：

journalctl -u sshd

出现如下典型信息：

Server listening on 0.0.0.0 port 2211
Server listening on :: port 2211

说明：

• SSH 服务正常运行
• 监听端口为 2211（非默认 22）

进一步日志：

Timeout before authentication for connection from 111.9.62.28

以及：

drop connection ... penalty: exceeded LoginGraceTime

可以得出结论：

• 客户端连接已经建立
• 但在认证前被服务端主动断开
• 原因是触发了连接惩罚机制

三、问题根因：MaxStartups 机制

在 OpenSSH 中，存在一个用于防止暴力连接的控制参数：

MaxStartups

即使配置文件中未显式声明，该参数也默认生效：

MaxStartups 10:30:100

含义如下：

• 超过 10 个未认证连接 → 开始随机丢弃
• 超过 100 个 → 基本全部拒绝
• 表现为：
• 连接建立后立即断开
• 日志中出现 penalty 、 drop connection

四、配置缺失但规则仍生效

在 /etc/ssh/sshd_config 中未找到 MaxStartups ：

grep MaxStartups /etc/ssh/sshd_config

这是正常现象：

• OpenSSH 默认参数不会全部写入配置文件
• 未配置 ≠ 未生效
• 实际运行时仍使用默认限制

五、解决方案：调整 MaxStartups

编辑 SSH 配置文件：

vi /etc/ssh/sshd_config

添加或修改：

MaxStartups 100:30:200

或使用更宽松配置：

MaxStartups 200

重启 SSH 服务：

systemctl restart sshd

六、验证配置生效

执行：

sshd -T | grep maxstartups

输出示例：

maxstartups 100:30:200

说明配置已成功应用。

七、问题结论

本次问题的本质并非：

• 网络故障
• 防火墙阻断
• SSH 服务异常

而是：

sshd 在高频或异常连接场景下触发 MaxStartups 限制，对未完成认证的连接进行惩罚性丢弃。

通过调整该参数，解除限制后，连接恢复正常。

八、总结

该问题具有较强迷惑性，主要体现在：

• 网络层完全正常
• 服务状态正常
• 连接行为异常

核心定位点在于日志中的：

Timeout before authentication
drop connection ... penalty

这类问题在高频连接、自动化脚本、或公网暴露环境中较为常见。最终通过调整 MaxStartups ，问题得到彻底解决。