PrepBro
← Назад к вопросам

Что происходит на уровне операционной системы и сети при подключении по SSH

3.0 Senior🔥 91 комментариев
#Linux и администрирование#Сети и протоколы

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI6 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Подключение по SSH: процесс на уровне ОС и сети

При подключении по SSH (Secure Shell) происходит комплексный процесс взаимодействия между клиентом и сервером, включающий сетевые протоколы, криптографические операции и системные вызовы. Рассмотрим этапы детально.

1. Начало подключения: сетевой уровень

Клиент (например, ssh user@server.com) сначала выполняет DNS-запрос для разрешения имени сервера в IP-адрес, если используется доменное имя. Затем устанавливается TCP-соединение на порт 22 (или другой указанный порт) через системный вызов connect().

Пример сетевого взаимодействия:

# Клиент отправляет SYN-пакет для установки TCP соединения
# Сервер отвечает SYN-ACK, затем клиент отправляет ACK
# После этого TCP-соединение считается установленным

ОС использует сетевые подсистемы (netfilter, socket API) для управления этим соединением. На сервере SSH демон (например, sshd) ожидает подключения через системный вызов listen() на указанном порту.

2. Идентификация и согласование параметров

После установки TCP-соединения начинается процесс SSH-протокола:

  • Обмен версиями: клиент и сервер отправляют строки идентификации (например, SSH-2.0-OpenSSH_8.9).
  • Согласование параметров: обмен сообщениями SSH_MSG_KEXINIT для определения:
    • Алгоритмов шифрования (aes256-gcm, chacha20-poly1305)
    • Алгоритмов хеширования (sha256, sha512)
    • Методов аутентификации (publickey, password)
    • Алгоритмов обмена ключей (ecdh-sha2-nistp256, diffie-hellman-group14-sha256)
# Пример структуры сообщения SSH_MSG_KEXINIT (упрощенно)
kex_init = {
    'cipher_algorithms': ['aes256-gcm', 'chacha20-poly1305'],
    'mac_algorithms': ['hmac-sha2-256'],
    'compression_algorithms': ['none'],
    'key_exchange_algorithms': ['ecdh-sha2-nistp256']
}

3. Криптографический обмен ключей

Этап Key Exchange (KEX) использует алгоритм Diffie-Hellman или ECDH для создания общего секретного ключа без его передачи по сети:

  • Клиент и сервер генерируют временные ключевые пары.
  • Обмениваются публичными частями.
  • Каждая сторона независимо вычисляет общий секрет (shared_secret).
  • На основе общего секрета вычисляются:
    • Сессионный ключ для симметричного шифрования
    • Initialization Vector (IV) для режимов шифрования
    • Ключи HMAC для проверки целостности данных

Важно: этот процесс обеспечивает forward secrecy – даже если долгосрочные ключи будут скомпрометированы позже, сессионные ключи остаются защищенными.

4. Аутентификация сервера и клиента

Аутентификация сервера:

  • Сервер отправляет свой публичный ключ (/etc/ssh/ssh_host_rsa_key.pub или аналогичный).
  • Клиент проверяет его по известным ключам (хранятся в ~/.ssh/known_hosts).
  • Если ключ неизвестен, пользователю предлагается подтвердить подключение.

Аутентификация клиента:

  • Клиент может использовать несколько методов:
    • Public Key: отправляет подписанный запрос своим приватным ключом
    • Password: передает зашифрованный пароль
    • Keyboard-interactive: многофакторная аутентификация
# Пример процесса аутентификации по публичному ключу
1. Клиент отправляет SSH_MSG_USERAUTH_REQUEST с указанием метода 'publickey'
2. Сервер проверяет соответствие публичного ключа в ~/.ssh/authorized_keys
3. Клиент подписывает запрос приватным ключом и отправляет подпись
4. Сервер проверяет подпись и подтверждает аутентификацию

5. Создание сессии и каналов

После успешной аутентификации создается SSH сессия:

  • Сервер открывает новый процесс через fork() и exec() для пользовательского сеанса.
  • Создается шифрованный туннель для всех данных.
  • Внутри сессии могут создаваться multiple channels для разных операций (shell, SFTP, порты).

Управление каналами:

# Каждый канал имеет идентификатор и тип:
# 0 – основной канал для shell
# 1 – канал для SFTP-сессии
# 2 – канал для туннелирования порта (TCP forwarding)

6. Транспортный уровень и шифрование данных

Все дальнейшие данные передаются через симметричное шифрование:

  • Каждый пакет содержит:
    • Sequence number для защиты от replay attacks
    • Payload (зашифрованные данные)
    • MAC (Message Authentication Code) для проверки целостности

Пример обработки пакета:

def encrypt_packet(sequence_number, payload, session_key):
    # Добавляем номер последовательности
    full_data = sequence_number + payload
    
    # Шифруем данные алгоритмом, выбранным на этапе KEX
    encrypted = aes_encrypt(full_data, session_key)
    
    # Вычисляем MAC для целостности
    mac = hmac_sha256(encrypted, hmac_key)
    
    return encrypted + mac

7. Системные процессы на сервере

На стороне сервера SSH демон (sshd) выполняет:

  • Проверку прав через pam_authenticate() (Pluggable Authentication Modules).
  • Создание сессии пользователя через setuid() и setgid().
  • Настройку PTY (pseudo-terminal) для эмуляции терминала.
  • Запуск процесса shell (bash, zsh) или указанной команды.
// Пример системных вызовов на сервере (упрощенно)
pid = fork();          // Создание нового процесса
setuid(user_id);       // Переход к правам пользователя
pty = openpty();       // Создание pseudo-terminal
execve("/bin/bash", ...); // Запуск shell

8. Завершение соединения

При завершении (exit, logout или разрыв соединения):

  • Клиент отправляет SSH_MSG_DISCONNECT.
  • Сессионные ключи уничтожаются (в памяти).
  • TCP соединение закрывается через close().
  • Серверный процесс завершается.

Защитные механизмы:

  • Keepalive сообщения для обнаружения "зависших" соединений.
  • Timeout-ы для предотвращения долгих неактивных сессий.
  • MaxSession ограничения для контроля количества одновременных подключений.

Ключевые особенности SSH на уровне ОС и сети

  • Многоуровневая защита: комбинация асимметричного, симметричного шифрования и хеширования.
  • Минимальные права на клиенте: процесс ssh-клиента работает с правами пользователя.
  • Изоляция сессий: каждый SSH-сеанс создает отдельный процесс на сервере.
  • Сетевая устойчивость: TCP-соединение может быть восстановлено при использовании ControlMaster и ControlPersist.
  • Расширяемость: поддержка множества алгоритмов и методов аутентификации через конфигурацию /etc/ssh/sshd_config.

Таким образом, подключение по SSH представляет собой сложный многоэтапный процесс, сочетающий криптографические операции, сетевые взаимодействия и системные вызовы для обеспечения безопасного удаленного доступа.