tailscale ssh 是不是存在安全问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

RANDOM.org 密码生成器

uBlock

Authy

LastPass

FreebuF.com

Beebeeto

Dashlane 密码管理器

这是一个创建于 556 天前的主题，其中的信息可能已经有所发展或是发生改变。

加入 tailscale 网络的机器之间相互 ssh ，不需要验证~/.ssh/id_rsa ，改为认证 tailscale 的密码，就可以直接登录。但是 tailscale 密码只有首次使用时需要认证一次，往后都不再需要了。

以往恶意软件需要获取~/.ssh/id_rsa 才能登陆服务器，现在只需要能从本机发起网络请求就可以了。这样好像会有很多发挥空间，比如：

使用 NAT 模式的虚拟机，可以直接登录宿主机可以登录的所有的服务器
clash 不小心打开了 LAN 模式，那么所在局域网的所有机器都能通过 clash 的代理登录所有的服务器
...

这样的设计是不是太大胆了，还是有什么地方我没理解到？

文档： https://tailscale.com/tailscale-ssh

安全

认证

密码

15 条回复 2025-07-16 18:15:17 +08:00

HeloV

2024-04-02 00:22:27 +08:00

我理解的，你需要用 tailscale ssh xxx ，tailscale 才会自动给你认证。普通 ssh xxx 不会走 tailscale 的认证。恶意软件想运行 tailscale ssh xxx ，需要 shell access 。如果恶意软件都有 shell access 了，别说~/.ssh/id_rsa ，基本上这台机器就可以重开了

kruskals

2024-04-02 00:26:00 +08:00

@HeloV 我测试过，普通的 ssh 也可以。我把 ssh 默认端口改成 9022 ，然后 ssh -p9022 走的是私钥认证，ssh -p22 走了 tailscale 的认证，直接给登录了，我把本地的~/.ssh 目录删掉也能直接登录

slowman

2024-04-02 00:36:29 +08:00

-vvv 看了吗
这个帖子让我想起自己也搭了 headscale, 都快忘了这回事了

macaodoll

2024-04-02 08:41:40 +08:00 via Android

本机都中毒了，怪 tailscale ？

DefoliationM

2024-04-02 09:42:41 +08:00

你可以不用 tailscale 的 ssh ，默认应该就是不开的

bao3

2024-04-02 09:58:27 +08:00

Tailscale 的 ssh 本身就是在信任时才开启，你都不信任你的安全环境，你开启他干啥。

kratosmy

2024-04-02 10:56:37 +08:00

只要外部无法访问 22 端口就不是 tailscale 的锅，被恶意软件入侵了也是你防护没到位

cyp0633

2024-04-02 11:11:40 +08:00

我怎么记得 tailscale ssh 默认每几个小时就要验证一次？ ACL 可以改的

opentrade

2024-04-02 12:15:30 +08:00

我觉得太大胆，我不敢这么设计

zagfai

2024-04-03 18:38:03 +08:00

tailscale 越搞越臃肿，想找替代品了

nvyao

2024-04-09 15:12:26 +08:00

我用过 zeroTier ，觉得还行吧，差不多的产品

retanoj

2024-04-28 10:24:20 +08:00

Tailscale uses netstack port interception and just-in-time automatic configuration of the client known_hosts file to make ssh myhost work without any new binary or config file.

看来的确接管了一些流量。读文档也的确仅对 22 端口有效。

不过 OP 说的代理问题 OP 有测试嘛？有点意思

kruskals

2024-04-28 13:13:28 +08:00

@retanoj 我测试过，可以。

首先在 windows powershell 中 ssh user@ip -p22 会弹出 tailscale 的登录认证，未来一段时间（默认好像 1d ）都不再需要认证，可以直接登录所有启用了 tailscale ssh 的机器。

此时，我用 nat 模式的 WSL shell 运行 ssh user@ip -p22 可以直接登录；

在 WSL 中用 docker 运行一个容器，在容器内部运行 ssh user@ip -p22 也可以无密码直接登录。

yqs112358

86 天前

如果担心这个就不要用 Tailscale ssh ，直接对内网开放然后用传统的 SSH 方法
不过话说回来。。。如果你真有机子被入侵了，黑客拿到你.ssh 目录下私钥，那跟 Tailscale ssh 也没啥区别了，都是畅通无阻，，

yqs112358

86 天前

所以首先还是要做到本地可信，没有本地可信其他一切都是笑话，包括密码管理、各种密钥等等