Satellite Tailscale — Ep.6

Context

기존 SSH 키 기반 인증은 단일 서버 환경에서도 생성·복사·로테이션·폐기 작업이 필요하며, 다중 디바이스 환경(Mac Mini + iPad Mini)에서는 iOS 간 키 전송이 별도의 절차를 요구한다.

Technical Solution

• Tailscale identity를 SSH 인증 자격증명으로 사용: 기존 공개키 기반 방식 대신 SSO 기반 identity 인증으로 전환
• 서버 측에서 Tailscale SSH 활성화: sudo tailscale up --ssh 명령어로 macOS SSH daemon(sshd)과 병렬로 실행
• ACL 정책으로 SSH 접근 제어: src(출발 디바이스·그룹), dst(도착 디바이스·태그), users(실행 사용자)를 지정해 보안 정책 수립
• 선택적 세션 확인 정책: "action": "check"로 설정해 민감한 작업 시 추가 identity 재확인 요청
• MagicDNS와 WireGuard 터널로 투명한 연결: IP 주소 대신 호스트명(mac-mini-m4)으로 접근, 전체 연결 체인이 WireGuard 암호화 및 Tailscale identity 인증으로 보호

Key Takeaway

SSH 키를 완전히 제거하고 identity 기반 인증을 도입하면 키 로테이션 부담을 없애면서 동시에 ACL 정책과 audit log를 통해 세밀한 접근 제어와 추적 가능성을 확보할 수 있다.