V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kruskals
V2EX  ›  信息安全

tailscale ssh 是不是存在安全问题

  •  
  •   kruskals · 233 天前 · 2533 次点击
    这是一个创建于 233 天前的主题,其中的信息可能已经有所发展或是发生改变。

    加入 tailscale 网络的机器之间相互 ssh ,不需要验证~/.ssh/id_rsa ,改为认证 tailscale 的密码,就可以直接登录。但是 tailscale 密码只有首次使用时需要认证一次,往后都不再需要了。

    以往恶意软件需要获取~/.ssh/id_rsa 才能登陆服务器,现在只需要能从本机发起网络请求就可以了。这样好像会有很多发挥空间,比如:

    1. 使用 NAT 模式的虚拟机,可以直接登录宿主机可以登录的所有的服务器
    2. clash 不小心打开了 LAN 模式,那么所在局域网的所有机器都能通过 clash 的代理登录所有的服务器
    3. ...

    这样的设计是不是太大胆了,还是有什么地方我没理解到?

    文档: https://tailscale.com/tailscale-ssh

    13 条回复    2024-04-28 13:13:28 +08:00
    HeloV
        1
    HeloV  
       233 天前   ❤️ 1
    我理解的,你需要用 tailscale ssh xxx ,tailscale 才会自动给你认证。普通 ssh xxx 不会走 tailscale 的认证。恶意软件想运行 tailscale ssh xxx ,需要 shell access 。如果恶意软件都有 shell access 了,别说~/.ssh/id_rsa ,基本上这台机器就可以重开了
    kruskals
        2
    kruskals  
    OP
       233 天前
    @HeloV 我测试过,普通的 ssh 也可以。我把 ssh 默认端口改成 9022 ,然后 ssh -p9022 走的是私钥认证,ssh -p22 走了 tailscale 的认证,直接给登录了,我把本地的~/.ssh 目录删掉也能直接登录
    1423
        3
    1423  
       233 天前
    -vvv 看了吗
    这个帖子让我想起自己也搭了 headscale, 都快忘了这回事了
    macaodoll
        4
    macaodoll  
       233 天前 via Android
    本机都中毒了,怪 tailscale ?
    DefoliationM
        5
    DefoliationM  
       233 天前
    你可以不用 tailscale 的 ssh ,默认应该就是不开的
    bao3
        6
    bao3  
       233 天前
    Tailscale 的 ssh 本身就是在信任时才开启,你都不信任你的安全环境,你开启他干啥。
    kratosmy
        7
    kratosmy  
       233 天前
    只要外部无法访问 22 端口就不是 tailscale 的锅,被恶意软件入侵了也是你防护没到位
    cyp0633
        8
    cyp0633  
       233 天前
    我怎么记得 tailscale ssh 默认每几个小时就要验证一次? ACL 可以改的
    opentrade
        9
    opentrade  
       233 天前
    我觉得太大胆,我不敢这么设计
    zagfai
        10
    zagfai  
       232 天前
    tailscale 越搞越臃肿,想找替代品了
    nvyao
        11
    nvyao  
       226 天前
    我用过 zeroTier ,觉得还行吧,差不多的产品
    retanoj
        12
    retanoj  
       207 天前
    Tailscale uses netstack port interception and just-in-time automatic configuration of the client known_hosts file to make ssh myhost work without any new binary or config file.

    看来的确接管了一些流量。读文档也的确仅对 22 端口有效。

    不过 OP 说的代理问题 OP 有测试嘛? 有点意思
    kruskals
        13
    kruskals  
    OP
       207 天前
    @retanoj 我测试过,可以的。

    首先在 windows powershell 中 ssh user@ip -p22 会弹出 tailscale 的登录认证,未来一段时间(默认好像 1d )都不再需要认证,可以直接登录所有启用了 tailscale ssh 的机器。

    此时,我用 nat 模式的 WSL shell 运行 ssh user@ip -p22 可以直接登录;

    在 WSL 中用 docker 运行一个容器,在容器内部运行 ssh user@ip -p22 也可以无密码直接登录。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3506 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 11:15 · PVG 19:15 · LAX 03:15 · JFK 06:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.