盤(pán)點(diǎn)流行的SSH客戶端

自從Windows流行以來(lái)，其上的病毒木馬從未消停過(guò)，直到官方的防病毒軟件Windows Defender比較給力才消停點(diǎn)。

FileZilla FTP客戶端、PuTTY中文版木馬事件，Xshell后門(mén)事件，SecureCRT還沒(méi)有出過(guò)事故。

很多攻防實(shí)驗(yàn)和教程都拿開(kāi)源的Notepad++當(dāng)祭品。使用開(kāi)源軟件需謹(jǐn)慎，一定要去官方網(wǎng)站下載！

本文是比較較真的盤(pán)點(diǎn)，會(huì)給出其官方網(wǎng)站，源碼地址，更新活躍情況等。

OpenSSH

官方網(wǎng)站：http://www.openssh.com/

源碼：https://anongit.mindrot.org/openssh.git

使用最為廣泛的SSH客戶端，Linux、Mac等系統(tǒng)內(nèi)置的SSH客戶端。發(fā)布的就是源碼，需要編譯安裝，有漏洞也會(huì)及時(shí)修復(fù)，目前開(kāi)發(fā)還是很活躍。 可惜沒(méi)有Windows的GUI版本。高版本的Windows也自帶有OpenSSH，但是命令行版本，鑒于CMD和PowerShell的奇特編碼和設(shè)置，用的人并不多。 安裝Git后也會(huì)自帶一個(gè)Cygwin版的OpenSSH，同樣較奇特。

PuTTY

官方網(wǎng)站：https://www.chiark.greenend.org.uk/~sgtatham/putty/

源碼：https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

有木馬的是惡意改版的，原版的還是很不錯(cuò)的。目前還在開(kāi)發(fā)維護(hù)中，在下載頁(yè)面可以直接下載源碼包，和二進(jìn)制同時(shí)發(fā)布，也有編譯指南，還是很 良心的，Windows上使用的人數(shù)應(yīng)該是排在前三的。

XShell

官方網(wǎng)站：https://www.netsarang.com/

源碼：2333

后門(mén)事件，官方說(shuō)是一個(gè)遠(yuǎn)程漏洞，2333！盡管曾經(jīng)有后門(mén)，但是這并不是一個(gè)免費(fèi)軟件，僅僅對(duì)家庭和學(xué)校用戶免費(fèi)，還得注冊(cè)。而且，這也不是 一個(gè)開(kāi)源軟件，所以沒(méi)有源碼可以下載。Windows上使用的人也不少，畢竟個(gè)人用戶免費(fèi)，功能也很多。目前也在積極更新和維護(hù)。

SecureCRT

官方網(wǎng)站：https://www.vandyke.com/products/securecrt/

源碼：2333

全平臺(tái)支持，支持iOS。典型的商業(yè)軟件，積極更新和維護(hù)是肯定的，功能也是特別豐富，據(jù)說(shuō)市場(chǎng)占有率第一。

MobaXterm

官方網(wǎng)站：https://mobaxterm.mobatek.net/

源碼：https://download.mobatek.net/sources/

雖然是開(kāi)源，但是都是很舊版本的源碼，只能說(shuō)是半開(kāi)源。支持企業(yè)定制，免費(fèi)版有一些使用上的限制，支持眾多協(xié)議，眾多工具。目前也在積極更 新和維護(hù)。自帶一個(gè)Cygwin。

mRemoteNG

官方網(wǎng)站：https://mremoteng.org/

源碼：https://github.com/mRemoteNG/mRemoteNG

這個(gè)GitHub上還是很流行的，有3.6k的star，這個(gè)SSH協(xié)議用的是內(nèi)置的PuTTY，支持多標(biāo)簽，支持批量執(zhí)行命令，支持文件傳輸，但沒(méi)有SecureCRT智能，也是支持RDP協(xié)議。軟件本身是GPL協(xié)議的，后門(mén)應(yīng)該是沒(méi)有的。目前也在積極更 新和維護(hù)。

WinSCP

官方網(wǎng)站：https://winscp.net/

源碼：https://sourceforge.net/projects/winscp/files/WinSCP/5.15.5/

GPL協(xié)議的FTP類(lèi)工具，因其支持SFTP，也支持SSH，算是SSH客戶端，不過(guò)一般用于上傳代碼。官網(wǎng)說(shuō)：“Apart from various contributions， WinSCP is mostly a one-man project. The man is me， Martin Prikryl.”，很有良心的作者。支持中文，目前也在積極更新和維護(hù)。

JuiceSSH

官方網(wǎng)站：https://www.juicessh.com/

源碼：2333

這個(gè)是Android上的SSH客戶端，高級(jí)付費(fèi)版支持動(dòng)態(tài)轉(zhuǎn)發(fā)，手機(jī)上的使用體驗(yàn)還是很好的。2017年后就沒(méi)有更新了。

其他

相信還有很多，比如Android版的阿里云居然也帶一個(gè)，Web版的SSH堡壘機(jī)GateOne。

安全建議：

SSH服務(wù)端修改默認(rèn)端口，避免大概率被掃描到，如果能使用安全組和防火墻限制入口更好。

再就是密碼不能太簡(jiǎn)單，至少8位，至少包含數(shù)字字母大小寫(xiě)，想更安全也要有特殊字符，千萬(wàn)不要將密碼寫(xiě)在文本里，也不要寫(xiě)在別人接觸到的地方。密碼也不要和其他賬號(hào)密碼重復(fù)，公網(wǎng)的機(jī)器一般都需要安裝denyhosts。

免密碼登錄一點(diǎn)也不酷，多個(gè)服務(wù)器，意味著破解了一個(gè)，其他的不攻自破。至少也要給私鑰加個(gè)密碼。

不要以為SSH很安全，就沒(méi)事，機(jī)器上裝的每個(gè)服務(wù)，每個(gè)監(jiān)聽(tīng)的端口都要仔細(xì)分析有沒(méi)有漏洞，如果有眾所周知的漏洞，例如redis任意代碼執(zhí)行， SSH再安全也是沒(méi)有用的，一步步提權(quán)，有root權(quán)限SSH不是不攻自破？

盡量不要允許root登錄SSH。

使用功能簡(jiǎn)單，代碼開(kāi)源的PuTTY，或正版商業(yè)軟件SecureCRT作為客戶端。