这是一个创建于 1514 天前的主题,其中的信息可能已经有所发展或是发生改变。
一般都是用 putty,xshell,Finalshell 等,VPS 的 ip 、端口、用户名、密码密钥,都在这些客户端手里。
只要它们愿意,你的 VPS 是不是随时都是肉鸡?
我并非不信任这些客户端,仅探讨安全性而已,有办法规避这个问题吗。企业用户在这方面有什么方案吗?不会都是命令行手输吧,机器多了怎么办
12 条回复 • 2020-09-21 01:04:39 +08:00
 |
1
Osk 2020-09-19 22:46:49 +08:00
反正 puuty 发生过被国内网站篡改的情况.
|
 |
2
lcdtyph 2020-09-19 22:54:14 +08:00
我用 ~/.ssh/config 管理多个机器
|
 |
3
lithiumii 2020-09-19 22:55:50 +08:00
审查代码然后自己编译?
|
 |
4
est 2020-09-19 22:56:45 +08:00
企业用户有堡垒机。记录所有输入输出。
|
 |
5
lhx2008 2020-09-19 22:56:55 +08:00
一般都是经过代理进去的,连的是内网,没问题
|
 |
6
ysc3839 2020-09-19 23:50:30 +08:00 via Android
显然是的。所以此类工具一般会选择开源的,且同时要去官网下载。
比如 PuTTY 出现过非官方的窃取密码的版本,Xshell 出现过服务器被入侵植入后门代码的事件。 |
 |
7
cxtrinityy 2020-09-20 00:42:57 +08:00
windows 现在不是有 powershell ?
|
 |
8
liberty1900 2020-09-20 01:06:56 +08:00 via Android
命令行也可以很简单,机器多了直接 alias
|
|
9
liberty1900 2020-09-20 01:12:55 +08:00 via Android
如果实在喜欢 GUI 界面,下载去官网,下载完的时候用 checksum 和官网对比下做个 check
即使这样也可能存在风险,但没有绝对安全的系统 |
 |
10
37Y37 2020-09-20 01:24:20 +08:00 via Android
登录通过堡垒机,堡垒机记录所有输入输出信息以备审查,开发过这类系统,可以了解下 https://blog.ops-coffee.cn/webssh
|
 |
11
hutng OP 感谢楼上各位大佬的回复,尽量选择靠谱的软件,官方下载渠道吧。搭建堡垒机什么的确实有点麻烦。
|
 |
12
flynaj 2020-09-21 01:04:39 +08:00 via Android
看一下软件的数字签名,上面的软件都有,没有签名或者签名错误就要小心了
|
Select Language