盘点流行的SSH客户端
自从Windows流行以来,其上的病毒木马从未消停过,直到官方的防病毒软件Windows Defender比较给力才消停点。
FileZilla FTP客户端、PuTTY中文版木马事件,Xshell后门事件,SecureCRT还没有出过事故。
很多攻防实验和教程都拿开源的Notepad++当祭品。使用开源软件需谨慎,一定要去官方网站下载!
本文是比较较真的盘点,会给出其官方网站,源码地址,更新活跃情况等。
OpenSSH
官方网站:http://www.openssh.com/
源码:https://anongit.mindrot.org/openssh.git
使用最为广泛的SSH客户端,Linux、Mac等系统内置的SSH客户端。发布的就是源码,需要编译安装,有漏洞也会及时修复,目前开发还是很活跃。 可惜没有Windows的GUI版本。高版本的Windows也自带有OpenSSH,但是命令行版本,鉴于CMD和PowerShell的奇特编码和设置,用的人并不多。 安装Git后也会自带一个Cygwin版的OpenSSH,同样较奇特。
PuTTY
官方网站:https://www.chiark.greenend.org.uk/~sgtatham/putty/
源码:https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
有木马的是恶意改版的,原版的还是很不错的。目前还在开发维护中,在下载页面可以直接下载源码包,和二进制同时发布,也有编译指南,还是很 良心的,Windows上使用的人数应该是排在前三的。
XShell
官方网站:https://www.netsarang.com/
源码:2333
后门事件,官方说是一个远程漏洞,2333!尽管曾经有后门,但是这并不是一个免费软件,仅仅对家庭和学校用户免费,还得注册。而且,这也不是 一个开源软件,所以没有源码可以下载。Windows上使用的人也不少,毕竟个人用户免费,功能也很多。目前也在积极更新和维护。
SecureCRT
官方网站:https://www.vandyke.com/products/securecrt/
源码:2333
全平台支持,支持iOS。典型的商业软件,积极更新和维护是肯定的,功能也是特别丰富,据说市场占有率第一。
MobaXterm
官方网站:https://mobaxterm.mobatek.net/
源码:https://download.mobatek.net/sources/
虽然是开源,但是都是很旧版本的源码,只能说是半开源。支持企业定制,免费版有一些使用上的限制,支持众多协议,众多工具。目前也在积极更 新和维护。自带一个Cygwin。
mRemoteNG
官方网站:https://mremoteng.org/
源码:https://github.com/mRemoteNG/mRemoteNG
这个GitHub上还是很流行的,有3.6k的star,这个SSH协议用的是内置的PuTTY,支持多标签,支持批量执行命令,支持文件传输,但没有SecureCRT智能,也是支持RDP协议。软件本身是GPL协议的,后门应该是没有的。目前也在积极更 新和维护。
WinSCP
官方网站:https://winscp.net/
源码:https://sourceforge.net/projects/winscp/files/WinSCP/5.15.5/
GPL协议的FTP类工具,因其支持SFTP,也支持SSH,算是SSH客户端,不过一般用于上传代码。官网说:“Apart from various contributions, WinSCP is mostly a one-man project. The man is me, Martin Prikryl.”,很有良心的作者。支持中文,目前也在积极更新和维护。
JuiceSSH
官方网站:https://www.juicessh.com/
源码:2333
这个是Android上的SSH客户端,高级付费版支持动态转发,手机上的使用体验还是很好的。2017年后就没有更新了。
其他
相信还有很多,比如Android版的阿里云居然也带一个,Web版的SSH堡垒机GateOne。
安全建议:
SSH服务端修改默认端口,避免大概率被扫描到,如果能使用安全组和防火墙限制入口更好。
再就是密码不能太简单,至少8位,至少包含数字字母大小写,想更安全也要有特殊字符,千万不要将密码写在文本里,也不要写在别人接触到的地方。密码也不要和其他账号密码重复,公网的机器一般都需要安装denyhosts。
免密码登录一点也不酷,多个服务器,意味着破解了一个,其他的不攻自破。至少也要给私钥加个密码。
不要以为SSH很安全,就没事,机器上装的每个服务,每个监听的端口都要仔细分析有没有漏洞,如果有众所周知的漏洞,例如redis任意代码执行, SSH再安全也是没有用的,一步步提权,有root权限SSH不是不攻自破?
尽量不要允许root登录SSH。
使用功能简单,代码开源的PuTTY,或正版商业软件SecureCRT作为客户端。