加入 tailscale 网络的机器之间相互 ssh ,不需要验证~/.ssh/id_rsa ,改为认证 tailscale 的密码,就可以直接登录。但是 tailscale 密码只有首次使用时需要认证一次,往后都不再需要了。 以往恶意软件需要获取~/.ssh/id_rsa 才能登陆服务器,现在只需要能从本机发起网络请求就可以了。这样好像会有很多发挥空间,比如: [ol]使用 NAT 模式的虚拟机,可以直接登录宿主机可以登录的所有的服务器clash 不小心打开了 LAN 模式,那么所在局域网的所有机器都能通过 clash 的代理登录所有的服务器... [/ol] 这样的设计是不是太大胆了,还是有什么地方我没理解到? 文档: https://tailscale.com/tailscale-ssh
我理解的,你需要用 tailscale ssh xxx ,tailscale 才会自动给你认证。普通 ssh xxx 不会走 tailscale 的认证。恶意软件想运行 tailscale ssh xxx ,需要 shell access 。如果恶意软件都有 shell access 了,别说~/.ssh/id_rsa ,基本上这台机器就可以重开了
@HeloV 我测试过,普通的 ssh 也可以。我把 ssh 默认端口改成 9022 ,然后 ssh -p9022 走的是私钥认证,ssh -p22 走了 tailscale 的认证,直接给登录了,我把本地的~/.ssh 目录删掉也能直接登录
