tailscale ssh 是不是存在安全问题

44 天前
 kruskals

加入 tailscale 网络的机器之间相互 ssh ,不需要验证~/.ssh/id_rsa ,改为认证 tailscale 的密码,就可以直接登录。但是 tailscale 密码只有首次使用时需要认证一次,往后都不再需要了。

以往恶意软件需要获取~/.ssh/id_rsa 才能登陆服务器,现在只需要能从本机发起网络请求就可以了。这样好像会有很多发挥空间,比如:

  1. 使用 NAT 模式的虚拟机,可以直接登录宿主机可以登录的所有的服务器
  2. clash 不小心打开了 LAN 模式,那么所在局域网的所有机器都能通过 clash 的代理登录所有的服务器
  3. ...

这样的设计是不是太大胆了,还是有什么地方我没理解到?

文档: https://tailscale.com/tailscale-ssh

1756 次点击
所在节点    信息安全
13 条回复
HeloV
44 天前
我理解的,你需要用 tailscale ssh xxx ,tailscale 才会自动给你认证。普通 ssh xxx 不会走 tailscale 的认证。恶意软件想运行 tailscale ssh xxx ,需要 shell access 。如果恶意软件都有 shell access 了,别说~/.ssh/id_rsa ,基本上这台机器就可以重开了
kruskals
44 天前
@HeloV 我测试过,普通的 ssh 也可以。我把 ssh 默认端口改成 9022 ,然后 ssh -p9022 走的是私钥认证,ssh -p22 走了 tailscale 的认证,直接给登录了,我把本地的~/.ssh 目录删掉也能直接登录
1423
44 天前
-vvv 看了吗
这个帖子让我想起自己也搭了 headscale, 都快忘了这回事了
macaodoll
44 天前
本机都中毒了,怪 tailscale ?
DefoliationM
44 天前
你可以不用 tailscale 的 ssh ,默认应该就是不开的
bao3
44 天前
Tailscale 的 ssh 本身就是在信任时才开启,你都不信任你的安全环境,你开启他干啥。
kratosmy
44 天前
只要外部无法访问 22 端口就不是 tailscale 的锅,被恶意软件入侵了也是你防护没到位
cyp0633
44 天前
我怎么记得 tailscale ssh 默认每几个小时就要验证一次? ACL 可以改的
opentrade
44 天前
我觉得太大胆,我不敢这么设计
zagfai
42 天前
tailscale 越搞越臃肿,想找替代品了
nvyao
36 天前
我用过 zeroTier ,觉得还行吧,差不多的产品
retanoj
18 天前
Tailscale uses netstack port interception and just-in-time automatic configuration of the client known_hosts file to make ssh myhost work without any new binary or config file.

看来的确接管了一些流量。读文档也的确仅对 22 端口有效。

不过 OP 说的代理问题 OP 有测试嘛? 有点意思
kruskals
17 天前
@retanoj 我测试过,可以的。

首先在 windows powershell 中 ssh user@ip -p22 会弹出 tailscale 的登录认证,未来一段时间(默认好像 1d )都不再需要认证,可以直接登录所有启用了 tailscale ssh 的机器。

此时,我用 nat 模式的 WSL shell 运行 ssh user@ip -p22 可以直接登录;

在 WSL 中用 docker 运行一个容器,在容器内部运行 ssh user@ip -p22 也可以无密码直接登录。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1028963

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX