加入 tailscale 网络的机器之间相互 ssh ,不需要验证~/.ssh/id_rsa ,改为认证 tailscale 的密码,就可以直接登录。但是 tailscale 密码只有首次使用时需要认证一次,往后都不再需要了。
以往恶意软件需要获取~/.ssh/id_rsa 才能登陆服务器,现在只需要能从本机发起网络请求就可以了。这样好像会有很多发挥空间,比如:
这样的设计是不是太大胆了,还是有什么地方我没理解到?
1
HeloV 240 天前 1
我理解的,你需要用 tailscale ssh xxx ,tailscale 才会自动给你认证。普通 ssh xxx 不会走 tailscale 的认证。恶意软件想运行 tailscale ssh xxx ,需要 shell access 。如果恶意软件都有 shell access 了,别说~/.ssh/id_rsa ,基本上这台机器就可以重开了
|
2
kruskals OP @HeloV 我测试过,普通的 ssh 也可以。我把 ssh 默认端口改成 9022 ,然后 ssh -p9022 走的是私钥认证,ssh -p22 走了 tailscale 的认证,直接给登录了,我把本地的~/.ssh 目录删掉也能直接登录
|
3
1423 240 天前
-vvv 看了吗
这个帖子让我想起自己也搭了 headscale, 都快忘了这回事了 |
4
macaodoll 240 天前 via Android
本机都中毒了,怪 tailscale ?
|
5
DefoliationM 240 天前
你可以不用 tailscale 的 ssh ,默认应该就是不开的
|
6
bao3 240 天前
Tailscale 的 ssh 本身就是在信任时才开启,你都不信任你的安全环境,你开启他干啥。
|
7
kratosmy 240 天前
只要外部无法访问 22 端口就不是 tailscale 的锅,被恶意软件入侵了也是你防护没到位
|
8
cyp0633 240 天前
我怎么记得 tailscale ssh 默认每几个小时就要验证一次? ACL 可以改的
|
9
opentrade 240 天前
我觉得太大胆,我不敢这么设计
|
10
zagfai 238 天前
tailscale 越搞越臃肿,想找替代品了
|
11
nvyao 233 天前
我用过 zeroTier ,觉得还行吧,差不多的产品
|
12
retanoj 214 天前
Tailscale uses netstack port interception and just-in-time automatic configuration of the client known_hosts file to make ssh myhost work without any new binary or config file.
看来的确接管了一些流量。读文档也的确仅对 22 端口有效。 不过 OP 说的代理问题 OP 有测试嘛? 有点意思 |