Pular para o conteúdo

OpenSSH: O software do OpenBSD que você usa todo dia sem saber

Você provavelmente rodou SSH hoje. Talvez nem tenha pensado nisso. Mas esse comando simples esconde uma das histórias mais improváveis da infraestrutura moderna

Avatar de DK
DKTrabalha com Linux e Unix a mais de 23 anos e possui as certificações LPI 3, RHCE, AIX e VIO.

12 dez, 2025
5 min de leitura

Voltar

Deixa eu te fazer uma pergunta rápida: você já rodou um ssh hoje?

Provavelmente sim. Talvez num git push, num deploy de sexta-feira (coragem…), ou acessando aquele banco de dados de staging através de um túnel porque a VPN caiu. A gente faz isso no automático. É tipo respirar. Você não para e pensa: “hm, agora vou inalar oxigênio”. Você só vai.

Mas esse comando invisível, que a gente digita sem nem olhar pro teclado, esconde uma das histórias mais… surreais da nossa área.

Não é uma história sobre a Google, nem a Microsoft, nem a Red Hat. É sobre um grupo pequeno de pessoas, com quase nenhum dinheiro, mantendo de pé a infraestrutura de empresas trilionárias.

Pega um café aí, que o papo é sério.

O problema do “texto plano” (ou: como a gente vivia perigosamente)

Volta comigo pra 1995. A internet era mato alto. Pra acessar servidor remoto, a gente usava Telnet. E o problema do Telnet é que ele era fofoqueiro: mandava tudo em texto plano. Senha? Texto plano. Comandos? Texto plano. Se tivesse alguém “sniffando” a rede no meio do caminho, lia tudo.

Aí apareceu um finlandês, Tatu Ylönen, e criou o SSH-1. Resolveu o problema da segurança. Só que aí o negócio virou comercial. A licença fechou, começaram a cobrar, e o mundo open source ficou naquela sinuca de bico: precisávamos de segurança, mas não podiam usar software proprietário.

O “Fork” que salvou a pátria

Aqui entra o pessoal do OpenBSD. Se você não conhece, é um sistema operacional focado maníacamente em segurança.

Em 1999, eles precisavam de SSH. Mas não podiam usar o fechado. O que eles fizeram? Acharam uma versão velha do SSH original (a 1.2.12) que ainda tinha uma licença livre.

Só que o código era, digamos… uma bagunça. Velho, cheio de bugs.

A equipe do OpenBSD, liderada pelo Theo de Raadt, fez o que todo dev raiz faz quando pega código legado: arregaçou as mangas. Limparam, refatoraram, consertaram bugs e lançaram o OpenSSH.

Não foi um plano de dominação mundial. Foi pragmatismo puro: “a gente precisa disso, não tem nada bom por aí, então deixa que a gente faz”.

A sacada genial: Nativo vs. Portable

O truque está em onde eles escolhem desenvolver primeiro.

O OpenSSH é escrito para o OpenBSD. Ele usa as funções de segurança paranoicas deles. Mas… e o Linux? E o Windows? E o macOS?

Pra resolver isso, eles mantêm duas versões paralelas:

  1. OpenSSH Nativo: O código puro, limpo, que roda no OpenBSD.
  2. OpenSSH Portable: A versão que a gente usa. É o mesmo código, mas com uma camada de “cola” (shims) pra funcionar nas APIs do Linux e outros sistemas.

É genial porque o desenvolvimento acontece no ambiente mais seguro possível, e depois é portado. Se acham um bug no nativo, corrigem lá e propagam pra todo mundo.

Quem usa, quem paga

Respira fundo. Olha o tamanho do buraco:

  • Quem usa: A grande maioria dos servidores SSH do mundo (estima-se uns 70%). Todas as distros Linux. Todos os Macs. O Windows, desde 2018. Equipamentos de rede como Juniper. É difícil achar algo que não dependa disso.
  • Quem paga: A OpenBSD Foundation trabalha com metas de uns US$ 300 a 400 mil por ano, e a arrecadação real varia bastante, às vezes passa, às vezes fica abaixo.

Para pra pensar.

Uma startup de entrega de ração pra cachorro levanta 5 milhões de dólares numa rodada Seed. O software que garante que a AWS, o Azure e o Google Cloud funcionem roda com menos que isso. Bem menos.

A equipe principal? Dois, três desenvolvedores com commit frequente. O time que cuida só do systemd na Red Hat é maior que o time inteiro do OpenSSH.

Por que não quebra?

Pela lógica de mercado, esse projeto tinha que ter dado errado. Pouca gente, pouco dinheiro, responsabilidade infinita.

Mas funciona porque eles têm uma cultura de dizer “NÃO”.

Sabe quando o PM vem pedir feature nova? No OpenSSH, a resposta padrão é não. Cada feature nova é código novo, e código novo traz bugs. Eles preferem um código pequeno e auditável do que um canivete suíço cheio de furos.

Eles não têm acionista pedindo crescimento. Eles têm obsessão por qualidade. Várias vulnerabilidades críticas foram evitadas simplesmente porque alguém leu o código pela milésima vez e achou algo estranho.

A fragilidade invisível

Só que nem tudo é heroísmo. Tem um lado humano pesado aqui.

Imagina a pressão. Você é um dos, sei lá, quatro caras que realmente entendem a troca de chaves criptográficas do protocolo. Se você errar, metade da internet cai ou é hackeada. E você tá fazendo isso meio que “pelo amor à causa”, porque o funding é incerto.

As grandes empresas faturam trilhões em cima dessa infraestrutura. A AWS, a Microsoft, o Google… todos dependem disso. E, salvo raras exceções (a Microsoft liderou o port pro Windows, justiça seja feita), a contribuição financeira é irrisória perto do valor que eles extraem.

É aquela velha história: quem cria valor vs. quem captura valor.

A gente trata o OpenSSH como se fosse eterno. Mas ele é mantido por pessoas cansadas, sujeitas a burnout, operando no limite. Se essa galera resolver parar, a gente tá ferrado.

O que fica pra gente?

Da próxima vez que você digitar ssh user@server, lembra que esse comando não nasceu de geração espontânea. Tem gente real do outro lado, auditando linha por linha, garantindo que sua conexão seja segura.

Se puder, ajude a OpenBSD Foundation. Se não puder, tudo bem.

Mas da próxima vez que você rodar um ssh, não vai ser só respirar. Você vai saber quem tá segurando o ar.

Avatar de DK
DK

Comentários

Deixe um comentário

Seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Ir para