tailscale ssh 是不是存在安全问题

查看 50|回复 3
作者:kruskals   
加入 tailscale 网络的机器之间相互 ssh ,不需要验证~/.ssh/id_rsa ,改为认证 tailscale 的密码,就可以直接登录。但是 tailscale 密码只有首次使用时需要认证一次,往后都不再需要了。
以往恶意软件需要获取~/.ssh/id_rsa 才能登陆服务器,现在只需要能从本机发起网络请求就可以了。这样好像会有很多发挥空间,比如:
[ol]
  • 使用 NAT 模式的虚拟机,可以直接登录宿主机可以登录的所有的服务器
  • clash 不小心打开了 LAN 模式,那么所在局域网的所有机器都能通过 clash 的代理登录所有的服务器
  • ...
    [/ol]
    这样的设计是不是太大胆了,还是有什么地方我没理解到?
    文档: https://tailscale.com/tailscale-ssh
  • HeloV   
    我理解的,你需要用 tailscale ssh xxx ,tailscale 才会自动给你认证。普通 ssh xxx 不会走 tailscale 的认证。恶意软件想运行 tailscale ssh xxx ,需要 shell access 。如果恶意软件都有 shell access 了,别说~/.ssh/id_rsa ,基本上这台机器就可以重开了
    kruskals
    OP
      
    @HeloV 我测试过,普通的 ssh 也可以。我把 ssh 默认端口改成 9022 ,然后 ssh -p9022 走的是私钥认证,ssh -p22 走了 tailscale 的认证,直接给登录了,我把本地的~/.ssh 目录删掉也能直接登录
    1423   
    -vvv 看了吗
    这个帖子让我想起自己也搭了 headscale, 都快忘了这回事了
    您需要登录后才可以回帖 登录 | 立即注册

    返回顶部