Как поддерживается безопасность при выполнении команд через ssh?

Question

[Вениамин]

Доброго времени суток коллеги!
Имеется интерес по следующему вопросу.

1) Генерируем ключ ssh
2) Закидываем его на целевую машину (сервер в моем случае)
3) Подключаемся к серверу
ssh user@host - тут все хорошо, вопросов нет
4) Выполняем команду
user@host # ls -la

При подключении к целевой машине (пункт 3) логика проверки ключей мне понятна, доступ к серверу мы получили.

Когда мы пытаемся выполнить команду (впринципе без разницы какую, пускай будет ls -la) (пункт 4)
делаются ли какие-то дополнительные проверки на сервере с точки зрения безопасности?

Есть нелепое предположение, что при каждом выполнении команды делается проверка ключей, думаю скорей всего это не так.
Может кто-то подскажет какой алгоритм выполнения команды на удаленной машине? (При условии что мы уже подключились к серверу).

Достаточно будет источника, где это можно прочитать

Всем спасибо.

Comments

[Сергей]

Чем описание https://ru.wikipedia.org/wiki/SSH не помогло?

[Сергей]

В частности "Аутентификация по паролю наиболее распространена. При каждом подключении подобно https вырабатывается общий секретный ключ для шифрования трафика."

[Максим Федоров]

Сергей, я так понял человек спрашивает — при каждой команде идет проверка или только при установлении подключения

[Вениамин]

Хотелось бы услышать что-то типа этого (алгоритм выполнения команды по шагам):

1) Вводим команду в консоли

Что дальше....

2) Команда шифруется (???)
3) Зашифрованная команда передается на сервер (???)
4) На сервере команда расшифровывается (???)
5) Расшифрованная команда выполняется (???)

[Сергей]

Максим Федоров, я просто подумал это очевидно, что только при подключении это делается один раз

[sim3x]

Вениамин, https://www.linuxjournal.com/article/9566
https://www.google.com.ua/search?q=how+ssh+works+u...

[Сергей]

Вениамин, Примерно да. Только вы посылаете не команду типа ls -al. А при каждом нажатии кнопки посылаете определенное действие (код), который принимает сервер и выполняет. Например нажали букву "L", клиент определил это, зашифровал и отправил, сервер получил расшифровал и выполнил "нажатие"

Answer 1

[jcmvbkbc]

Когда мы пытаемся выполнить команду (впринципе без разницы какую, пускай будет ls -la) (пункт 4)
делаются ли какие-то дополнительные проверки на сервере с точки зрения безопасности?

Нет. Пользователь зашедший по ssh ничем не отличается от обычного локального пользователя.

Может кто-то подскажет какой алгоритм выполнения команды на удаленной машине? (При условии что мы уже подключились к серверу).

Достаточно посмотреть в вывод команды pstree:

├─sshd(700)─┬─sshd(8208)───sshd(8214,jcmvbkbc)───bash(8215)───ssh(8231)
│           └─sshd(8232)───sshd(8238,jcmvbkbc)───bash(8239)───pstree(8244)

чтобы понять, что после подключения по ssh, sshd (демон ssh, процесс 8238) запускает login-shell (процесс 8239), который показывает приглашение ввода ($). Когда в нём набирается команда pstree (процесс 8244), шелл просто запускает эту команду.

Comments

[Вениамин]

Впринципе понятно, что не отличается, но физически мы же заходим не с локальной машины.

[Вениамин]

И как достигается это неотличие по ssh?

[Вениамин]

Не подскажите ссылку, где это может быть подробно расписано?

[jcmvbkbc]

как достигается это неотличие

Вениамин, через сетевой канал вы коммуницируете с программой (bash) запущенной локально на удалённой машине. Больше ничего нет.

[jcmvbkbc]

Не подскажите ссылку, где это может быть подробно расписано?

man sshd, раздел Login Process.

[pfg21]

Вениамин, bash имеет входной поток stdin и выходной поток stdout. больше он ничего не знает.
откуда к нему приходят команды и куда улеает выхлоп этих команд он тоже не отслеживает.

максимум можно отследить цепочку запускающих программ, если в этой цепочке присутвует sshd (вариант telnetd и т.д.) то можно сказть что идет работа с сетевым подключеним
при запуске в локальной консоли сервер удаленного доступа в родителях будет отсутствовать. вот к примеру

├─xfce4-terminal(9613)─┬─bash(9617)───pstree(9682)
│                      ├─bash(9648)