Debian 12 SSH 修改端口问题

问题现象：在 /etc/ssh/sshd_config 中修改 Port 62222，执行 systemctl restart ssh 后，服务仍监听 22 端口，新端口无法连接。
适用系统：Debian 12 / Ubuntu 22.04+ / 其他使用 systemd 的现代发行版

🔍 一、常规排查（先排除基础问题）

在深入之前，先确认以下 4 点：

# 1. 确认修改的是服务端配置（不是客户端！）
grep -n "^Port" /etc/ssh/sshd_config
# ✅ 应输出：Port 62222（且无 # 注释）

# 2. 检查子配置目录覆盖（Debian 11/12 常见坑）
grep -rni "Port" /etc/ssh/sshd_config.d/
# ❌ 若有其他文件也写了 Port，会覆盖主配置

# 3. 验证配置语法
sudo sshd -t
# ✅ 无输出 = 语法正确；有报错请先修复

# 4. 检查防火墙是否放行
sudo ufw allow 62222/tcp    # UFW 用户
sudo nft add rule inet filter input tcp dport 62222 accept  # NFTables 用户

如果以上都正常，但 ss -tulnp | grep ssh 仍显示监听 22 端口 → 请继续往下看。

🎯 二、Debian 12 特有坑：`ssh.socket` 激活机制

❓ 为什么改了配置不生效？

因为 监听端口的可能不是 sshd，而是 systemd。

模式	谁在监听端口？	`sshd_config` 的 `Port` 生效吗？
传统模式 (`ssh.service`)	`sshd` 进程	✅ 生效
Socket 激活 (`ssh.socket`)	`systemd` (PID 1)	❌ 不生效

原理：
启用 ssh.socket 后，systemd 会预先绑定端口。当有连接时，才拉起 sshd 并把已绑定的 socket 传给它。此时 sshd 不再执行 bind()，自然忽略 Port 配置。

🔎 如何确认当前模式？

# 1. 查看 socket 状态
systemctl is-active ssh.socket
# 输出 active = 正在使用 socket 模式

# 2. 看谁在监听端口
sudo ss -tulnp | grep ':22\|:62222'

显示 users:(("systemd",...)) → socket 模式（改 sshd_config 无效）
显示 users:(("sshd",...)) → 传统模式（改 sshd_config 有效）

✅ 三、解决方案（二选一）

🅰️ 方案 A：回归传统模式（推荐 ⭐ 简单可靠）

适合：只想改端口，不想折腾 systemd 配置。

# 1. 禁用 socket 模式（解决冲突）
sudo systemctl disable --now ssh.socket

# 2. 启用并重启传统服务
sudo systemctl enable --now ssh

# 3. 验证
sudo sshd -t                    # 语法检查
sudo systemctl status ssh      # 服务状态
sudo ss -tulnp | grep ssh      # 确认监听 62222

✅ 此时 /etc/ssh/sshd_config 中的 Port 62222 会正常生效。

🅱️ 方案 B：保留 socket 模式（高级用法）

适合：需要 socket 激活特性（按需启动、资源节省），且愿意配置 systemd。

# 1. 停止传统服务（释放端口控制权）
sudo systemctl disable --now ssh.service

# 2. 通过 override 修改 socket 监听端口（不要直接改单元文件！）
sudo systemctl edit ssh.socket

在编辑器中输入：

[Socket]
ListenStream=62222

# 3. 重载并重启
sudo systemctl daemon-reload
sudo systemctl restart ssh.socket

# 4. 验证
sudo ss -tulnp | grep 62222
# ✅ 应显示：users:(("systemd", pid, fd))

⚠️ 注意：此模式下，/etc/ssh/sshd_config 的 Port 可注释或保留，但不起作用。端口由 ssh.socket 的 ListenStream 决定。

🧪 四、连接测试 & 避坑清单

🔐 安全测试流程（防失联！）

# 1. 保持当前 SSH 会话不要关闭
# 2. 新开终端测试新端口
ssh -p 62222 your_user@your_server_ip

# 3. 本地快速验证端口监听
nc -zv localhost 62222
# 或
telnet localhost 62222

📋 快速自检清单

修改的是 /etc/ssh/sshd_config（不是 ssh_config）
Port 62222 未被 # 注释
/etc/ssh/sshd_config.d/ 无冲突配置
sshd -t 无语法报错
确认当前是 service 还是 socket 模式（关键！）
防火墙已放行新端口
测试时用 ssh -p 62222 指定端口

🆘 附：常用诊断命令

# 查看服务/单元状态
systemctl status ssh.service ssh.socket

# 查看 systemd 日志（定位启动失败原因）
sudo journalctl -u ssh -u ssh.socket -e --no-pager

# 查看端口绑定详情
sudo ss -tulnp | grep -E '22|62222'

# 测试配置语法
sudo sshd -t

# 查看 sshd 实际加载的配置（调试用）
sudo /usr/sbin/sshd -T | grep port

💡 总结

核心原则：谁 bind 端口，谁决定监听哪个端口。

传统模式 → sshd bind → 改 sshd_config
Socket 模式 → systemd bind → 改 ssh.socket 的 ListenStream

Debian 12 中 ssh.socket 的引入是 systemd 现代化的体现，但也带来了配置逻辑的变化。遇到问题先查 systemctl is-active ssh.socket，能节省 90% 的排查时间。