Recibo errores de «Conexión rechazada» o «Conexión finalizada» cuando intento conectarme a mi instancia de EC2 con SSH. ¿Cómo lo puedo solucionar?

Descripción breve

Mensaje de error: «ssh: connect to host ec2-X-X-X-X.compute-1.amazonaws.com port 22: Connection timed out». Este mensaje de error proviene del cliente SSH. El error indica que el servidor no ha respondido al cliente y que el programa cliente ha desistido (ha agotado el tiempo de espera). Las siguientes son causas comunes de este error:

• El grupo de seguridad o la ACL de red no permite el acceso.
• Hay un firewall en el sistema operativo de la instancia.
• Hay un firewall entre el cliente y el servidor.
• El host no existe.

Mensaje de error: «ssh: connect to host ec2-X-X-X-X.compute-1.amazonaws.com port 22: Connection refused». Este mensaje procede remotamente de un host. Las siguientes son causas comunes de este error:

• El host ha llegado a la instancia, pero no había ningún servicio a la escucha en el puerto SSH.
• Un firewall bloqueó y estaba configurado para rechazar el paquete en lugar de ignorarlo.

Resolución

Error «Connection timed out»

Para el error «Connection timed out», compruebe lo siguiente:

• La dirección IP o el nombre de host de la instancia es correcto.
• La instancia está pasando sus comprobaciones de estado.
• El grupo de seguridad de la instancia permite el tráfico entrante en el puerto TCP 22.
• Las ACL de red de la subred de la instancia permiten el tráfico entrante en el puerto TCP 22 y permiten un puerto efímero para el tráfico saliente.
• La tabla de enrutamiento de la subred de la instancia está configurada correctamente para proporcionar conectividad entre la instancia EC2 y el cliente SSH.
• No hay ningún firewall bloqueando la conexión entre el cliente SSH y la instancia de EC2.
• Los TCP Wrappers de la instancia (en el sitio web de Red Hat) no bloquean el SSH.

Nota: Los dos últimos pasos de comprobación requieren un acceso en el sistema operativo de la instancia.

Error «Connection refused»

Para el error «Connection refused», compruebe lo siguiente:

• No hay firewall en la instancia que rechace la conexión SSH.
• El daemon SSH (sshd) está ejecutándose y a la escucha en el puerto 22.

Nota: Ambos pasos de comprobación requieren el acceso en el sistema operativo de la instancia.

Si la instancia supera ambas comprobaciones de estado, utilice uno de los cuatro métodos siguientes con su configuración

• Método 1: Utilice la consola serie de EC2 para Linux.
• Método 2: Utilice el Administrador de sesiones de AWS Systems Manager.
• Método 3: Ejecute el runbook de automatización AWSSupport-TroubleshootSSH.
• Método 4: Utilice un script de datos de usuario.

Método 1: Utilice la consola serie de EC2 para Linux

Si está configurada, puede utilizar la consola serie de EC2 para Linux para solucionar problemas a nivel del sistema operativo de los tipos de instancia basados en Nitro compatibles. La consola serie permite solucionar problemas de arranque, configuración de red y problemas de configuración de SSH. Se puede acceder a la consola serie mediante la consola de Amazon EC2 o la interfaz de la línea de comandos de AWS (AWS CLI).

Antes de utilizar la consola serie, conceda acceso a ella a nivel de cuenta. Cree políticas de AWS Identity and Access Management (IAM) que concedan acceso a sus usuarios de IAM.

Nota: Cada instancia que utilice la consola serie debe incluir al menos un usuario Linux con contraseña y acceso sudo.

Para obtener más información sobre la configuración de la consola serie de EC2 para Linux, consulte Configurar el acceso a la consola serie de EC2. Si no hay una cuenta Linux con una contraseña de inicio de sesión configurada, debe ejecutar ssm-user para restablecer la contraseña de una cuenta con acceso sudo. Para obtener más información sobre la ejecución de comandos ssm-user, consulte Administrar los permisos de la cuenta sudo ssm-user en Linux y macOS.

Tras la configuración, conéctese a la instancia de EC2 a través de la consola serie de EC2 mediante un usuario Linux configurado con contraseña.

A continuación, ejecute los siguientes comandos. Estos comandos comprueban que las conexiones SSH no están siendo bloqueadas por el firewall del sistema operativo o el TCP Wrapper. Los comandos también comprueban que el servicio sshd está funcionando y a la escucha en el puerto 22.

1. Si tiene reglas iptables configuradas, ejecute el siguiente comando para añadir una regla en iptables que acepte todas las conexiones SSH en el puerto 22 de forma predeterminada:

$ sudo iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT

Dado que se recomienda utilizar grupos de seguridad en lugar de un firewall basado en el sistema operativo, el firewall puede desactivarse por completo. Para desactivar el firewall basado en el sistema operativo, utilice uno de los siguientes conjuntos de comandos, en función de su sistema operativo:

Importante: Los siguientes comandos eliminan todas las reglas principales de iptables. También añaden una regla que permite las conexiones SSH entrantes. Además, cambian la política predeterminada de la cadena principal a ACCEPT para que la eliminación de la regla iptables no afecte a la conectividad de red de la instancia. Como estos comandos eliminan todas las reglas iptables principales, también eliminan cualquier regla existente.

Distribuciones que utilizan UFW (Ubuntu, Debian)

$ sudo iptables -F
$ sudo iptables -P INPUT ACCEPT
$ sudo ufw disable

Distribuciones que utilizan firewalId (Red Hat, CentOS)

$ sudo iptables -F
$ sudo iptables -P INPUT ACCEPT
$ sudo systemctl disable firewalld

Nota: Una vez que haya recuperado el acceso a su instancia, revise la configuración de su firewall (UFW, firewalld, iptables).

2. Compruebe que SSH se está ejecutando y compruebe que el puerto TCP SSH (22) está a la escucha:

$ sudo systemctl restart sshd
$ sudo ss -tpln | grep -iE '22|ssh'
LISTEN 0 128 *:22 *:* users:(("sshd",pid=1901,fd=3))
LISTEN 0 128 [::]:22 [::]:* users:(("sshd",pid=1901,fd=4))

Nota: Si su sistema no dispone del comando ss, puede utilizar el comando netstat heredado con la misma sintaxis mostrada en el ejemplo anterior.

3. Asegúrese de que el TCP Wrapper no está bloqueando una conexión SSH:

$ if [[ $( cat /etc/hosts.[ad]* | grep -vE '^#' | awk 'NF' | wc -l) -ne 0 ]];\
then sudo sed -i '1i sshd2 sshd : ALL: allow' /etc/hosts.allow; fi

4. A continuación, conéctese a la instancia mediante SSH.

5. Desconecte la sesión de la consola serie de EC2 si ya no es necesaria.

Método 2: Utilice el Administrador de sesiones de AWS Systems Manager

Nota: Para utilizar este método, la instancia debe ser una instancia administrada por SSM y el estado de ping de su agente SSM debe ser Online. Para obtener más información sobre el Administrador de sesiones y una lista completa de requisitos previos, consulte Configurar el Administrador de sesiones.

Para confirmar que las conexiones SSH no están siendo bloqueadas por el firewall o el TCP Wrapper y que el servicio sshd está funcionando y a la escucha en el puerto 22:

1. Abra AWS Systems Manager.

2. Inicie una sesión para la instancia mediante Session Manager.

3. Siga los pasos del 1 al 4 del Método 1: Utilice la consola serie de EC2 para Linux.

4. Cierre la sesión del Administrador de Sesiones si ya no es necesaria.

Método 3: Ejecute el runbook AWSSupport-TroubleshootSSH

El runbook de automatización AWSSupport-TroubleshootSSH instala la herramienta Amazon EC2Rescue para Linux en la instancia. Esta herramienta comprueba e intenta solucionar los problemas que impiden un host Linux de conexión remota a través de SSH.

Para ejecutar el runbook AWSSupport-TroubleshootSSH:

1. Abra la página AWSSupport-TroubleshootSSH.

2. Seleccione Ejecutar esta automatización (consola).

Para obtener más información, consulte Recibo errores al intentar conectarme a mi instancia de EC2 mediante SSH. ¿Cómo puedo utilizar el flujo de trabajo de automatización de AWSSupport-TroubleshootSSH para solucionar problemas de conexión SSH?

Método 4: Utilice un script de datos de usuario

Si ninguno de los métodos descritos es el adecuado para su entorno, utilice un script de datos de usuario de EC2. El script de datos de usuario de EC2 desactiva el firewall en el sistema operativo y el TCP Wrapper y, a continuación, reinicia el servicio sshd.

Importante:

• Este procedimiento requiere detener e iniciar la instancia de EC2. Si la instancia tiene algún dato almacenado en los volúmenes de almacenamiento de la instancia, esos datos se eliminarán tras detener la instancia.
• Si la instancia forma parte de un grupo de Amazon EC2 Auto Scaling, la finalización de la instancia también podría detener las instancias dentro del grupo de escalamiento automático.
• Si los servicios que utilizan AWS Auto Scaling lanzan la instancia, la finalización de la instancia también podría detener las instancias dentro del grupo de escalamiento automático.
• La finalización de la instancia depende de la configuración de la protección del escalamiento de la instancia para el grupo de escalamiento automático. Si la instancia forma parte de un grupo de escalamiento automático, elimine temporalmente la instancia del grupo de escalamiento automático antes de iniciar los pasos de resolución.
• Al detener e iniciar la instancia cambia la dirección IP pública de la instancia. Se recomienda utilizar una dirección IP elástica en lugar de una dirección IP pública al enrutar el tráfico externo hacia la instancia.

Siga estos pasos para configurar los datos de usuario para la instancia:

1. Abra la consola de Amazon EC2.

2. Elija Instancias en el panel de navegación y, a continuación, seleccione la instancia a la que desea conectarse.

3. Detenga la instancia.

4. Elija Acciones, Configuración de la instancia, Editar datos de usuario.

5. Copie el siguiente script de datos de usuario en el cuadro de diálogo Editar datos de usuario y, a continuación, seleccione Guardar.

Content-Type: multipart/mixed; boundary="//"
MIME-Version: 1.0

--//
Content-Type: text/cloud-config; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="cloud-config.txt"

#cloud-config
cloud_final_modules:
- [scripts-user, always]

--//
Content-Type:
    text/x-shellscript; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="userdata.txt"

#!/bin/bash
iptables -P INPUT ACCEPT
iptables -F
systemctl restart sshd.service || service sshd restart
if [[ $( cat /etc/hosts.[ad]* | grep -vE '^#' | awk 'NF' | wc -l) -ne 0 ]];\
then sudo sed -i '1i sshd2 sshd : ALL: allow' /etc/hosts.allow; fi
--//

6. Conéctese a la instancia mediante SSH.

7. El script de datos de usuario anterior está configurado para ejecutarse cada vez que se reinicie la instancia. Tras recuperar el acceso a la instancia, elimine el script de datos de usuario.

Nota: El comando anterior elimina todas las reglas iptables principales. Tras recuperar el acceso a la instancia, revise la configuración del firewall para comprobar que es correcta (por ejemplo, UFW, firewalld, iptables).

Para eliminar los datos del usuario:

1. Complete los pasos 1 a 4 del Método 4: Utilice una sección de script de datos de usuario.

2. Elimine el script de datos de usuario en el cuadro de diálogo Editar datos de usuario.

Información relacionada

Error al conectar con su instancia: Se agotó el tiempo de espera de la conexión

¿Cómo soluciono los errores de tiempo de espera de la conexión de una instancia de Amazon EC2 desde Internet?

¿Cómo puedo solucionar los problemas de conexión a mi instancia de Linux de Amazon EC2 mediante SSH?

¿Por qué mi instancia de EC2 de Linux no es accesible y falla una o ambas comprobaciones de estado?