盤點流行的SSH客戶端

自從Windows流行以來，其上的病毒木馬從未消停過，直到官方的防病毒軟件Windows Defender比較給力才消停點。

FileZilla FTP客戶端、PuTTY中文版木馬事件，Xshell后門事件，SecureCRT還沒有出過事故。

很多攻防實驗和教程都拿開源的Notepad++當祭品。使用開源軟件需謹慎，一定要去官方網站下載！

本文是比較較真的盤點，會給出其官方網站，源碼地址，更新活躍情況等。

OpenSSH

官方網站：http://www.openssh.com/

源碼：https://anongit.mindrot.org/openssh.git

使用最為廣泛的SSH客戶端，Linux、Mac等系統內置的SSH客戶端。發布的就是源碼，需要編譯安裝，有漏洞也會及時修復，目前開發還是很活躍。 可惜沒有Windows的GUI版本。高版本的Windows也自帶有OpenSSH，但是命令行版本，鑒于CMD和PowerShell的奇特編碼和設置，用的人并不多。 安裝Git后也會自帶一個Cygwin版的OpenSSH，同樣較奇特。

PuTTY

官方網站：https://www.chiark.greenend.org.uk/~sgtatham/putty/

源碼：https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

有木馬的是惡意改版的，原版的還是很不錯的。目前還在開發維護中，在下載頁面可以直接下載源碼包，和二進制同時發布，也有編譯指南，還是很 良心的，Windows上使用的人數應該是排在前三的。

XShell

官方網站：https://www.netsarang.com/

源碼：2333

后門事件，官方說是一個遠程漏洞，2333！盡管曾經有后門，但是這并不是一個免費軟件，僅僅對家庭和學校用戶免費，還得注冊。而且，這也不是 一個開源軟件，所以沒有源碼可以下載。Windows上使用的人也不少，畢竟個人用戶免費，功能也很多。目前也在積極更新和維護。

SecureCRT

官方網站：https://www.vandyke.com/products/securecrt/

源碼：2333

全平臺支持，支持iOS。典型的商業軟件，積極更新和維護是肯定的，功能也是特別豐富，據說市場占有率第一。

MobaXterm

官方網站：https://mobaxterm.mobatek.net/

源碼：https://download.mobatek.net/sources/

雖然是開源，但是都是很舊版本的源碼，只能說是半開源。支持企業定制，免費版有一些使用上的限制，支持眾多協議，眾多工具。目前也在積極更 新和維護。自帶一個Cygwin。

mRemoteNG

官方網站：https://mremoteng.org/

源碼：https://github.com/mRemoteNG/mRemoteNG

這個GitHub上還是很流行的，有3.6k的star，這個SSH協議用的是內置的PuTTY，支持多標簽，支持批量執行命令，支持文件傳輸，但沒有SecureCRT智能，也是支持RDP協議。軟件本身是GPL協議的，后門應該是沒有的。目前也在積極更 新和維護。

WinSCP

官方網站：https://winscp.net/

源碼：https://sourceforge.net/projects/winscp/files/WinSCP/5.15.5/

GPL協議的FTP類工具，因其支持SFTP，也支持SSH，算是SSH客戶端，不過一般用于上傳代碼。官網說：“Apart from various contributions， WinSCP is mostly a one-man project. The man is me， Martin Prikryl.”，很有良心的作者。支持中文，目前也在積極更新和維護。

JuiceSSH

官方網站：https://www.juicessh.com/

源碼：2333

這個是Android上的SSH客戶端，高級付費版支持動態轉發，手機上的使用體驗還是很好的。2017年后就沒有更新了。

其他

相信還有很多，比如Android版的阿里云居然也帶一個，Web版的SSH堡壘機GateOne。

安全建議：

SSH服務端修改默認端口，避免大概率被掃描到，如果能使用安全組和防火墻限制入口更好。

再就是密碼不能太簡單，至少8位，至少包含數字字母大小寫，想更安全也要有特殊字符，千萬不要將密碼寫在文本里，也不要寫在別人接觸到的地方。密碼也不要和其他賬號密碼重復，公網的機器一般都需要安裝denyhosts。

免密碼登錄一點也不酷，多個服務器，意味著破解了一個，其他的不攻自破。至少也要給私鑰加個密碼。

不要以為SSH很安全，就沒事，機器上裝的每個服務，每個監聽的端口都要仔細分析有沒有漏洞，如果有眾所周知的漏洞，例如redis任意代碼執行， SSH再安全也是沒有用的，一步步提權，有root權限SSH不是不攻自破？

盡量不要允許root登錄SSH。

使用功能簡單，代碼開源的PuTTY，或正版商業軟件SecureCRT作為客戶端。