加入 tailscale 网络的机器之间相互 ssh ,不需要验证~/.ssh/id_rsa ,改为认证 tailscale 的密码,就可以直接登录。但是 tailscale 密码只有首次使用时需要认证一次,往后都不再需要了。
以往恶意软件需要获取~/.ssh/id_rsa 才能登陆服务器,现在只需要能从本机发起网络请求就可以了。这样好像会有很多发挥空间,比如:
- 使用 NAT 模式的虚拟机,可以直接登录宿主机可以登录的所有的服务器
- clash 不小心打开了 LAN 模式,那么所在局域网的所有机器都能通过 clash 的代理登录所有的服务器
- ...
这样的设计是不是太大胆了,还是有什么地方我没理解到?
13 条回复 • 2024-04-28 13:13:28 +08:00
 |
1
HeloV 28 天前  1
我理解的,你需要用 tailscale ssh xxx ,tailscale 才会自动给你认证。普通 ssh xxx 不会走 tailscale 的认证。恶意软件想运行 tailscale ssh xxx ,需要 shell access 。如果恶意软件都有 shell access 了,别说~/.ssh/id_rsa ,基本上这台机器就可以重开了
|
 |
2
kruskals OP @HeloV 我测试过,普通的 ssh 也可以。我把 ssh 默认端口改成 9022 ,然后 ssh -p9022 走的是私钥认证,ssh -p22 走了 tailscale 的认证,直接给登录了,我把本地的~/.ssh 目录删掉也能直接登录
|
 |
3
1423 28 天前
-vvv 看了吗
这个帖子让我想起自己也搭了 headscale, 都快忘了这回事了 |
 |
4
macaodoll 27 天前 via Android
本机都中毒了,怪 tailscale ?
|
 |
5
DefoliationM 27 天前
你可以不用 tailscale 的 ssh ,默认应该就是不开的
|
 |
6
bao3 27 天前
Tailscale 的 ssh 本身就是在信任时才开启,你都不信任你的安全环境,你开启他干啥。
|
 |
7
kratosmy 27 天前
只要外部无法访问 22 端口就不是 tailscale 的锅,被恶意软件入侵了也是你防护没到位
|
 |
8
cyp0633 27 天前
我怎么记得 tailscale ssh 默认每几个小时就要验证一次? ACL 可以改的
|
 |
9
opentrade 27 天前
我觉得太大胆,我不敢这么设计
|
 |
10
zagfai 26 天前
tailscale 越搞越臃肿,想找替代品了
|
 |
11
nvyao 20 天前
我用过 zeroTier ,觉得还行吧,差不多的产品
|
 |
12
retanoj 1 天前
Tailscale uses netstack port interception and just-in-time automatic configuration of the client known_hosts file to make ssh myhost work without any new binary or config file.
看来的确接管了一些流量。读文档也的确仅对 22 端口有效。 不过 OP 说的代理问题 OP 有测试嘛? 有点意思 |
Select Language