WSL 中的 SSH 与远程访问
如果你只是想在 Windows 本机里打开一个 WSL 终端,其实不需要 SSH。但当你想做下面这些事情时,SSH 就会很有用:
- 从 Windows Terminal、VS Code、其他终端工具统一连接到 WSL
- 从局域网另一台机器登录到你的 WSL 环境
- 在 WSL 中长期运行开发服务,希望配合 SSH 做转发或远程开发
这篇文档把整个链路拆成两层:
- 先让 WSL 内部的 SSH 服务 正常工作
- 再决定是只给 Windows 本机访问,还是给 局域网其他机器访问
1. 在 WSL 中安装 OpenSSH
以下示例以 Ubuntu / Debian 为例:
sudo apt update
sudo apt install -y openssh-server
安装完成后,先确认服务文件已经存在:
sshd -T | head
如果系统提示找不到 sshd,通常说明 openssh-server 还没安装成功。
2. 配置 SSH 的最小安全基线
编辑配置文件:
sudo nano /etc/ssh/sshd_config
建议至少确认这些项目:
Port 22
ListenAddress 0.0.0.0
PubkeyAuthentication yes
PasswordAuthentication no
PermitRootLogin no
AuthorizedKeysFile .ssh/authorized_keys
这里的默认思路是:
- 优先使用公钥认证
- 不默认开放 root 直接登录
- 不默认保留密码登录
如果你只是临时测试,也可以把 PasswordAuthentication 改成 yes,等公钥登录确认可用后再关回去。
3. 生成并导入公钥
如果你还没有 SSH 密钥,先在 客户端机器 上生成。以 Windows PowerShell 为例:
ssh-keygen -t ed25519 -C "your_email@example.com"
生成后查看公钥内容:
Get-Content $env:USERPROFILE\.ssh\id_ed25519.pub
再把公钥追加到 WSL 用户的 authorized_keys:
mkdir -p ~/.ssh
chmod 700 ~/.ssh
nano ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
如果权限不对,SSH 往往会直接忽略这个文件,所以这一步不要省略。
4. 启动 SSH 服务
先判断你的 WSL 是否启用了 systemd。
方式 A:已启用 systemd
如果你的 /etc/wsl.conf 中已经启用了 systemd:
[boot]
systemd=true
那么可以直接使用:
sudo systemctl enable --now ssh
sudo systemctl status ssh
修改完 wsl.conf 后,记得在 Windows 中执行一次:
wsl --shutdown
然后重新进入发行版。
方式 B:未启用 systemd
如果你没有启用 systemd,可以先手动启动:
sudo service ssh start
sudo service ssh status
这种方式也能用,但要注意:WSL 发行版退出后,服务通常不会像传统 Linux 服务器那样一直常驻。
5. 先验证 Windows 本机能否登录
在 Windows PowerShell 中先做本机测试:
ssh <your_user>@localhost
只要这一步不通,就先不要继续做局域网端口转发。因为后面的 portproxy 只是把请求转给 WSL,不能替你解决 WSL 内部 SSH 本身的问题。
如果你使用了非 22 端口:
ssh <your_user>@localhost -p <port>
6. 让局域网其他机器访问 WSL
默认情况下,其他局域网设备并不能稳定直接访问 WSL。更稳妥的做法是:
- 在 Windows 上开放一个监听端口
- 把这个端口转发到当前 WSL 实例的 SSH 端口
6.1 获取 WSL 当前 IP
在管理员 PowerShell 中执行:
$distro = "Ubuntu"
$wslIp = wsl -d $distro -- bash -lc "hostname -I | awk '{print \$1}'"
$wslIp
把 $distro 改成你的发行版名称。
6.2 添加 Windows 防火墙规则
仍然在管理员 PowerShell 中执行:
New-NetFirewallRule `
-DisplayName "WSL SSH 22" `
-Direction Inbound `
-Action Allow `
-Protocol TCP `
-LocalPort 22
如果你打算转发到其他端口,把 22 换成你的监听端口。
6.3 配置 portproxy
先清理旧规则,再重新添加:
netsh interface portproxy delete v4tov4 listenaddress=0.0.0.0 listenport=22
netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=22 connectaddress=$wslIp connectport=22
查看当前规则:
netsh interface portproxy show all
这里的含义是:
- Windows 在
0.0.0.0:22上监听 - 收到连接后,转发到当前的 WSL IP 的
22端口
6.4 从其他机器连接
先查 Windows 主机在局域网中的 IP:
ipconfig
然后在另一台机器上执行:
ssh <your_user>@<windows_lan_ip>
如果 Windows 监听端口不是 22,别忘了加 -p。
7. WSL IP 变了怎么办
这是 portproxy 最常见的坑。WSL 重启、Windows 重启,或者网络环境变化后,WSL IP 都可能改变。
所以一旦你发现:
ssh user@localhost还能连- 但
ssh user@<windows_lan_ip>突然不通
就优先怀疑 portproxy 指向的还是旧的 WSL IP。最直接的处理方式是重新执行上一节的获取 IP 和添加 portproxy 规则。
最小排错顺序
建议按这个顺序排,而不是一开始就改防火墙:
- 在 WSL 中执行
sudo service ssh status或sudo systemctl status ssh - 在 WSL 中执行
ss -lntp | grep :22 - 在 Windows 上执行
ssh <your_user>@localhost - 在 Windows 上执行
Test-NetConnection -ComputerName localhost -Port 22 - 查看
netsh interface portproxy show all - 再去检查 Windows 防火墙和局域网 IP
常见问题
1. 为什么不建议默认开启 root 登录
WSL 虽然常被当作本地开发环境,但只要你开放了局域网访问,它就已经变成了一个真正暴露在网络上的 SSH 服务。默认普通用户加 sudo 的习惯会稳妥很多。
2. service ssh start 成功了,但重开 WSL 后又没了
这通常不是 SSH 坏了,而是 WSL 实例退出后服务没有持续运行。要么接受“用的时候手动启动”,要么改成启用 systemd。
3. 为什么 chmod 600 /etc/ssh/sshd_config 不是排错重点
很多教�程会让你上来就改这个权限,但真正更常见的问题其实是:
- 服务没启动
authorized_keys权限不对portproxy指向了旧 IP- Windows 防火墙没放行