当前位置：首页 > news >正文

本地客户端ssh连接远程服务器，远程服务器的ssh进程都做了哪些工作？

news 2026/1/11 4:33:18

服务端的 sshd 进程在处理一个 SSH 连接时，工作非常复杂和精密。我们可以将其工作流程分为几个关键阶段。

下面我们来详细拆解每个阶段。

监听连接：sshd 守护进程在后台持续运行，监听默认的 22 端口（或配置的其它端口）。
接受 TCP 连接：当客户端发起连接，主 sshd 进程会接受这个 TCP 连接。
协议版本交换：双方交换标识字符串，例如 SSH-2.0-OpenSSH_8.2p1，以确定使用 SSH-1 还是 SSH-2 协议（现代系统基本都用 SSH-2）。
密钥交换与加密层建立：
- 使用 Diffie-Hellman 等算法协商一个临时的、唯一的会话密钥。这个密钥本身不会在网络上传输。
- 基于会话密钥，生成后续通信使用的加密密钥和完整性验证密钥。
- 协商双方支持的加密算法（如 AES-CTR）、MAC 算法等。
- 从此之后，所有的通信都被加密和完整性保护。

在安全的加密通道建立后，服务器需要验证客户端的身份。

客户端发起认证请求：客户端声明要使用哪个用户名进行认证。
认证方法协商：服务器根据配置（/etc/ssh/sshd_config）和客户端能力，按顺序尝试不同的认证方法。常见的有：
- 公钥认证：最常用的方式。服务端检查用户家目录下的 ~/.ssh/authorized_keys 文件，看是否存在客户端提供的公钥。如果存在，服务端会生成一个随机挑战，用该公钥加密，发送给客户端。客户端必须用对应的私钥解密并回应，才能证明自己的身份。
- 密码认证：服务端要求客户端提供用户的登录密码，并通过系统的 PAM 或直接 shadow 文件来验证密码。
- 键盘交互认证：用于双因素认证等场景，服务端可以发送一系列提示（如密码 + 验证码），客户端依次回答。
认证成功：一旦任何一种认证方法成功，用户即被视为已登录。

SSH 协议是分层的。在加密连接内部，可以创建多个独立的逻辑“通道”。

通道请求：认证成功后，客户端会发送一个 session 通道请求。这相当于在 SSH 连接内部开辟了一个独立的对话线路。
处理客户端请求：在 session 通道内，客户端可以发起不同类型的请求，服务端 sshd 需要处理这些请求：
- pty-req：请求分配一个伪终端。
- shell：请求启动一个默认的 Shell。
- exec：请求执行一个特定的命令。
- subsystem：请求启动一个子系统，最典型的是 sftp。

当客户端请求一个交互式 Shell 时（这是最常见的情况），服务端 sshd 会进行我们在上一个问题中讨论的伪终端创建工作。

创建伪终端：
- sshd 进程（的子进程）调用 posix_openpt() 等函数，打开主设备。
- 操作系统解锁并返回一个对应的从设备路径，如 /dev/pts/2。
启动用户进程：
- sshd 通过 fork() 创建一个子进程。
- 在该子进程中，它可能会调用 setuid() 切换到登录用户的身份。
- 然后它打开从设备，并将其复制到新进程的标准输入、标准输出和标准错误文件描述符上。
- 最后，通过 exec() 系列函数启动用户配置的 Shell（如 /bin/bash）。
Shell 的错觉：现在，Shell 认为自己连接到了一个真实的终端（/dev/pts/2），并正常地从“键盘”读取输入，向“屏幕”输出结果。

这是 sshd 进程持续进行的工作，也是其核心职责。

数据泵：
- 输入方向：sshd 从加密的 TCP 套接字中读取客户端发送的按键数据，将其解密后，写入伪终端的主设备。这些数据随后会被 Shell 从从设备读取。
- 输出方向：sshd 同时监听伪终端的主设备，等待 Shell 有输出。一旦有输出，它就从主设备读取数据，加密后，通过 TCP 套接字发送给客户端。
信号和窗口大小转发：
- 当你在客户端按下 Ctrl+C 时，客户端不会发送字符 ^C，而是会通过一个特殊的消息告诉服务器“请发送 SIGINT 信号”。
- sshd 收到这个消息后，会向 Shell 进程组发送 SIGINT 信号。
- 同样，当你调整终端窗口大小时，客户端会通知服务器，sshd 则使用 ioctl() 系统调用调整伪终端的大小，Shell 和其下的程序（如 vim）就能感知到变化。
连接保活与超时管理：sshd 会监控连接状态，处理客户端超时或无响应的情况，并根据配置断开连接。
清理工作：当连接断开（客户端退出或网络中断），sshd 会：
- 向 Shell 及其所有子进程发送 SIGHUP 信号，终止它们。
- 关闭伪终端。
- 释放所有资源，退出处理这个连接的子进程。