盘点流行的SSH客户端

2019-11-02 22:17发布

盘点流行的SSH客户端

自从Windows流行以来,其上的病毒木马从未消停过,直到官方的防病毒软件Windows Defender比较给力才消停点。

FileZilla FTP客户端、PuTTY中文版木马事件,Xshell后门事件,SecureCRT还没有出过事故。

很多攻防实验和教程都拿开源的Notepad++当祭品。使用开源软件需谨慎,一定要去官方网站下载!

本文是比较较真的盘点,会给出其官方网站,源码地址,更新活跃情况等。

OpenSSH

官方网站:http://www.openssh.com/

源码:https://anongit.mindrot.org/openssh.git

使用最为广泛的SSH客户端,Linux、Mac等系统内置的SSH客户端。发布的就是源码,需要编译安装,有漏洞也会及时修复,目前开发还是很活跃。 可惜没有Windows的GUI版本。高版本的Windows也自带有OpenSSH,但是命令行版本,鉴于CMD和PowerShell的奇特编码和设置,用的人并不多。 安装Git后也会自带一个Cygwin版的OpenSSH,同样较奇特。

PuTTY

官方网站:https://www.chiark.greenend.org.uk/~sgtatham/putty/

源码:https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

有木马的是恶意改版的,原版的还是很不错的。目前还在开发维护中,在下载页面可以直接下载源码包,和二进制同时发布,也有编译指南,还是很 良心的,Windows上使用的人数应该是排在前三的。

XShell

官方网站:https://www.netsarang.com/

源码:2333

后门事件,官方说是一个远程漏洞,2333!尽管曾经有后门,但是这并不是一个免费软件,仅仅对家庭和学校用户免费,还得注册。而且,这也不是 一个开源软件,所以没有源码可以下载。Windows上使用的人也不少,毕竟个人用户免费,功能也很多。目前也在积极更新和维护。

SecureCRT

官方网站:https://www.vandyke.com/products/securecrt/

源码:2333

全平台支持,支持iOS。典型的商业软件,积极更新和维护是肯定的,功能也是特别丰富,据说市场占有率第一。

MobaXterm

官方网站:https://mobaxterm.mobatek.net/

源码:https://download.mobatek.net/sources/

虽然是开源,但是都是很旧版本的源码,只能说是半开源。支持企业定制,免费版有一些使用上的限制,支持众多协议,众多工具。目前也在积极更 新和维护。自带一个Cygwin。

mRemoteNG

官方网站:https://mremoteng.org/

源码:https://github.com/mRemoteNG/mRemoteNG

这个GitHub上还是很流行的,有3.6k的star,不过没有使用过,也是支持众多协议。软件本身是GPL协议的,后门应该是没有的。目前也在积极更 新和维护。

WinSCP

官方网站:https://winscp.net/

源码:https://sourceforge.net/projects/winscp/files/WinSCP/5.15.5/

GPL协议的FTP类工具,因其支持SFTP,也支持SSH,算是SSH客户端,不过一般用于上传代码。官网说:"Apart from various contributions, WinSCP is mostly a one-man project. The man is me, Martin Prikryl.",很有良心的作者。支持中文,目前也在积极更新和维护。

JuiceSSH

官方网站:https://www.juicessh.com/

源码:2333

这个是Android上的SSH客户端,高级付费版支持动态转发,手机上的使用体验还是很好的。2017年后就没有更新了。

其他

相信还有很多,比如Android版的阿里云居然也带一个,Web版的SSH堡垒机GateOne。

安全建议:

SSH服务端修改默认端口,避免大概率被扫描到,如果能使用安全组和防火墙限制入口更好。

再就是密码不能太简单,至少8位,至少包含数字字母大小写,想更安全也要有特殊字符,千万不要将密码写在文本里,也不要写在别人接触到的地方。密码也不要和其他账号密码重复,公网的机器一般都需要安装denyhosts。

免密码登录一点也不酷,多个服务器,意味着破解了一个,其他的不攻自破。至少也要给私钥加个密码。

不要以为SSH很安全,就没事,机器上装的每个服务,每个监听的端口都要仔细分析有没有漏洞,如果有众所周知的漏洞,例如redis任意代码执行, SSH再安全也是没有用的,一步步提权,有root权限SSH不是不攻自破?

尽量不要允许root登录SSH。

使用功能简单,代码开源的PuTTY,或正版商业软件SecureCRT作为客户端。

文章来源: https://www.toutiao.com/group/6754656146167955982/