关于 ssh 客户端的安全性疑问

2020-09-19 22:04:00 +08:00

hutng

一般都是用 putty，xshell，Finalshell 等，VPS 的 ip 、端口、用户名、密码密钥，都在这些客户端手里。

只要它们愿意，你的 VPS 是不是随时都是肉鸡？

我并非不信任这些客户端，仅探讨安全性而已，有办法规避这个问题吗。企业用户在这方面有什么方案吗？不会都是命令行手输吧，机器多了怎么办

2830 次点击

所在节点

问与答

12 条回复

Osk

2020-09-19 22:46:49 +08:00

反正 puuty 发生过被国内网站篡改的情况.

lcdtyph

2020-09-19 22:54:14 +08:00

我用 ~/.ssh/config 管理多个机器

lithiumii

2020-09-19 22:55:50 +08:00

审查代码然后自己编译？

est

2020-09-19 22:56:45 +08:00

企业用户有堡垒机。记录所有输入输出。

lhx2008

2020-09-19 22:56:55 +08:00

一般都是经过代理进去的，连的是内网，没问题

ysc3839

2020-09-19 23:50:30 +08:00

显然是的。所以此类工具一般会选择开源的，且同时要去官网下载。
比如 PuTTY 出现过非官方的窃取密码的版本，Xshell 出现过服务器被入侵植入后门代码的事件。

cxtrinityy

2020-09-20 00:42:57 +08:00

windows 现在不是有 powershell ？

liberty1900

2020-09-20 01:06:56 +08:00

命令行也可以很简单，机器多了直接 alias

liberty1900

2020-09-20 01:12:55 +08:00

如果实在喜欢 GUI 界面，下载去官网，下载完的时候用 checksum 和官网对比下做个 check
即使这样也可能存在风险，但没有绝对安全的系统

37Y37

2020-09-20 01:24:20 +08:00

登录通过堡垒机，堡垒机记录所有输入输出信息以备审查，开发过这类系统，可以了解下 https://blog.ops-coffee.cn/webssh

hutng

2020-09-20 19:08:35 +08:00

感谢楼上各位大佬的回复，尽量选择靠谱的软件，官方下载渠道吧。搭建堡垒机什么的确实有点麻烦。

flynaj

2020-09-21 01:04:39 +08:00

看一下软件的数字签名，上面的软件都有，没有签名或者签名错误就要小心了

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/708639

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.