Le démon Shell sécurisé (sshd) est démarré normalement au moment de l'initialisation lorsque les services réseau sont démarrés. Le démon détecte les connexions des clients. Une session Shell sécurisé commence lorsque l'utilisateur exécute une commande ssh, scp ou sftp. Un nouveau démon sshd est cloné pour chaque connexion entrante. Le démon cloné gère l'échange de clés, le chiffrement, l'authentification, l'exécution des commandes et l'échange de données avec le client. Ces caractéristiques de session sont déterminées par les fichiers de configuration côté client et côté serveur. Les arguments de la ligne de commande peuvent remplacer les paramètres des fichiers de configuration.
Le client doit s'authentifier auprès du serveur et vice-versa. Après la réussite de l'authentification, l'utilisateur peut exécuter des commandes à distance et copier des données entre les hôtes.