加入 tailscale 网络的机器之间相互 ssh ,不需要验证~/.ssh/id_rsa ,改为认证 tailscale 的密码,就可以直接登录。但是 tailscale 密码只有首次使用时需要认证一次,往后都不再需要了。
以往恶意软件需要获取~/.ssh/id_rsa 才能登陆服务器,现在只需要能从本机发起网络请求就可以了。这样好像会有很多发挥空间,比如:
这样的设计是不是太大胆了,还是有什么地方我没理解到?
 |
1
HeloV Apr 2, 2024  3
我理解的,你需要用 tailscale ssh xxx ,tailscale 才会自动给你认证。普通 ssh xxx 不会走 tailscale 的认证。恶意软件想运行 tailscale ssh xxx ,需要 shell access 。如果恶意软件都有 shell access 了,别说~/.ssh/id_rsa ,基本上这台机器就可以重开了
|
 |
2
kruskals OP @HeloV 我测试过,普通的 ssh 也可以。我把 ssh 默认端口改成 9022 ,然后 ssh -p9022 走的是私钥认证,ssh -p22 走了 tailscale 的认证,直接给登录了,我把本地的~/.ssh 目录删掉也能直接登录
|
 |
3
slowman Apr 2, 2024
-vvv 看了吗
这个帖子让我想起自己也搭了 headscale, 都快忘了这回事了 |
 |
4
macaodoll Apr 2, 2024 via Android
本机都中毒了,怪 tailscale ?
|
 |
5
DefoliationM Apr 2, 2024
你可以不用 tailscale 的 ssh ,默认应该就是不开的
|
 |
6
bao3 Apr 2, 2024 1
Tailscale 的 ssh 本身就是在信任时才开启,你都不信任你的安全环境,你开启他干啥。
|
 |
7
kratosmy Apr 2, 2024
只要外部无法访问 22 端口就不是 tailscale 的锅,被恶意软件入侵了也是你防护没到位
|
 |
8
cyp0633 Apr 2, 2024
我怎么记得 tailscale ssh 默认每几个小时就要验证一次? ACL 可以改的
|
 |
9
opentrade Apr 2, 2024
我觉得太大胆,我不敢这么设计
|
 |
10
zagfai Apr 3, 2024
tailscale 越搞越臃肿,想找替代品了
|
 |
11
nvyao Apr 9, 2024
我用过 zeroTier ,觉得还行吧,差不多的产品
|
 |
12
retanoj Apr 28, 2024
Tailscale uses netstack port interception and just-in-time automatic configuration of the client known_hosts file to make ssh myhost work without any new binary or config file.
看来的确接管了一些流量。读文档也的确仅对 22 端口有效。 不过 OP 说的代理问题 OP 有测试嘛? 有点意思 |
|
13
kruskals OP @retanoj 我测试过,可以的。
首先在 windows powershell 中 ssh user@ip -p22 会弹出 tailscale 的登录认证,未来一段时间(默认好像 1d )都不再需要认证,可以直接登录所有启用了 tailscale ssh 的机器。 此时,我用 nat 模式的 WSL shell 运行 ssh user@ip -p22 可以直接登录; 在 WSL 中用 docker 运行一个容器,在容器内部运行 ssh user@ip -p22 也可以无密码直接登录。 |
 |
14
yqs112358 Jul 16, 2025
如果担心这个就不要用 Tailscale ssh ,直接对内网开放然后用传统的 SSH 方法
不过话说回来。。。如果你真有机子被入侵了,黑客拿到你.ssh 目录下私钥,那跟 Tailscale ssh 也没啥区别了,都是畅通无阻,, |
|
15
yqs112358 Jul 16, 2025
所以首先还是要做到本地可信,没有本地可信其他一切都是笑话,包括密码管理、各种密钥等等
|
Select Language