https://ops.freeedge.uk/tags/%E5%AE%89%E5%85%A8/ Recent content in 安全 on Ops FreeEdge Hugo en-us Sat, 04 Apr 2026 02:30:00 +0000 https://ops.freeedge.uk/posts/tailscale-rate-limiting/ Sat, 04 Apr 2026 02:30:00 +0000 https://ops.freeedge.uk/posts/tailscale-rate-limiting/ <h1 id="tailscale-速率限制dos-防护机制与连接限制深度解析">Tailscale 速率限制：DoS 防护机制与连接限制深度解析</h1> <h2 id="引言">引言</h2> <p>Tailscale 作为一款基于 WireGuard 的零信任网络工具，在提供便捷、安全的点对点连接的同时，也内置了多种机制来防范拒绝服务（DoS）攻击和滥用资源。这些机制包括内置速率限制、DERP（Designated Encrypted Relay for Packets）中继层的防护、每设备和尾网（tailnet）的连接限制、ACL（访问控制列表）策略的间接限流，以及针对暴力破解攻击的缓解措施。本文将深入剖析这些机制，并提供实际配置示例，帮助管理员优化 Tailscale 部署的安全性和性能。</p> <p>Tailscale 的设计哲学强调“最小权限”和“零信任”，其速率限制并非简单地基于流量阈值，而是结合控制平面、数据平面和中继层的多层防护，确保网络稳定性和公平性。根据官方文档和源代码分析，Tailscale 在免费计划下有明确的设备/用户限制，企业版则支持更高规模。</p> <h2 id="tailscale-内置速率限制机制">Tailscale 内置速率限制机制</h2> <p>Tailscale 客户端（tailscaled）和控制服务器内置了多种速率限制，以防止资源耗尽：</p> <ul> <li><strong>控制平面限流</strong>：登录和认证请求受限于协调服务器（controlplane.tailscale.com）。源代码显示，使用 token bucket 算法限制 API 调用频率，避免 DDoS。</li> <li><strong>节点注册限流</strong>：新节点加入 tailnet 时，有注册间隔（默认 1 分钟），防止突发注册洪水。</li> <li><strong>策略分发限流</strong>：tailnet 策略文件大小限制为 1MB，规则数不超过 1000 条，防止策略膨胀导致内存耗尽。</li> </ul> <table> <thead> <tr> <th>机制</th> <th>限制描述</th> <th>默认阈值</th> </tr> </thead> <tbody> <tr> <td>API 请求</td> <td>每 IP/用户每分钟请求数</td> <td>100 req/min</td> </tr> <tr> <td>节点注册</td> <td>每 tailnet 新节点间隔</td> <td>60s</td> </tr> <tr> <td>策略大小</td> <td>tailnet policy 文件</td> <td>1MB / 1000 规则</td> </tr> </tbody> </table> <p>这些内置机制确保即使在高负载下，Tailscale 也能维持稳定性。</p> <h2 id="derp-中继层的-dos-防护">DERP 中继层的 DoS 防护</h2> <p>DERP 是 Tailscale 的中继服务器，当直接 P2P 连接失败时使用。它是 DoS 防护的核心层。</p> https://ops.freeedge.uk/posts/tailscale-incident-response/ Fri, 03 Apr 2026 22:30:00 +0000 https://ops.freeedge.uk/posts/tailscale-incident-response/ <h1 id="tailscale-事件响应取证日志告警与事后分析深度解析">Tailscale 事件响应：取证日志、告警与事后分析深度解析</h1> <h2 id="引言">引言</h2> <p>Tailscale 是一种基于 WireGuard 的零信任网络工具，通过加密隧道实现设备间的安全连接。在现代分布式环境中，事件响应（Incident Response，IR）至关重要。Tailscale 提供了丰富的日志系统，包括配置审计日志、网络流量日志等，支持取证分析。本文深入探讨 Tailscale 的取证日志、告警机制、SIEM 集成、事件响应运行手册（Runbook）以及事后分析（Postmortem）方法，帮助安全团队构建高效的响应体系。</p> <p>Tailscale 的日志覆盖网络流量、设备加入/离开、ACL（访问控制列表）变更等关键事件，支持与 Splunk、Elastic 等 SIEM 系统集成。通过 webhook 和 API，可以实时告警异常活动，确保快速响应。</p> <h2 id="tailscale-取证日志详解">Tailscale 取证日志详解</h2> <p>Tailscale 的日志系统分为配置审计日志（Configuration Audit Logs）和网络流量日志（Network Flow Logs）。这些日志保留 90 天（审计日志）和 30 天（流量日志），支持 API 查询和导出。</p> <h3 id="配置审计日志">配置审计日志</h3> <p>配置审计日志记录 tailnet 配置变更，包括设备加入/离开、ACL 修改、DNS 设置等。日志在协调服务器（Coordination Server）上生成，默认启用，无法禁用。通过 admin console 的 Logs 页面或 API 访问。</p> <p>关键事件包括：</p> <ul> <li>设备加入（device join）：新节点注册。</li> <li>设备离开（device leave）：节点移除。</li> <li>ACL 变更：策略文件 diff。</li> </ul> <table> <thead> <tr> <th>日志事件类型</th> <th>描述</th> <th>示例 actor</th> </tr> </thead> <tbody> <tr> <td>policy_change</td> <td>ACL 或策略文件修改，包含 diff</td> <td>admin 用户</td> </tr> <tr> <td>device_add</td> <td>新设备加入 tailnet</td> <td>用户或 tag</td> </tr> <tr> <td>device_remove</td> <td>设备移除或下线</td> <td>admin 操作</td> </tr> <tr> <td>tag_update</td> <td>设备标签变更</td> <td>tag owner</td> </tr> <tr> <td>dns_change</td> <td>DNS 设置修改</td> <td>admin</td> </tr> </tbody> </table> <p>这些日志支持过滤用户、时间、动作，便于事后审计。例如，验证离职员工设备是否全部移除。</p>