Avamar: Správa časového limitu připojení SSH

V softwaru Avamar verze 19.3 a novějších je výchozí konfigurace časového limitu protokolu Avamar SSH kompatibilní se standardem STIG.

Konfigurace časového limitu SSH se skládá ze tří částí.

• Konfigurace démona SSH (SSHD)
• Proměnná prostředí časového limitu profilu Bash
• Konfigurace udržování připojení klienta SSH

Konfigurace

SSHDAplikace Secure Shell Daemon (SSH daemon nebo sshd) je program démona pro ssh.

Ke správě časového limitu protokolu SSH lze použít následující dvě možnosti v konfiguračním souboru SSHD.
 

ClientAliveInterval
ClientAliveCountMax

Níže jsou uvedeny výchozí hodnoty používané pro software Avamar v souladu se standardem STIG v rámci posílení zabezpečení Avamar:
 

ClientAliveInterval 600
ClientAliveCountMax 1

To znamená, že každých deset minut SSHD odešle klientovi SSH požadavek na poskytnutí jakéhokoli druhu udržování naživu.
Vzhledem k tomu, že hodnota "ClientAliveCountMax" je nastavena na jedničku, má klient pouze jednu šanci odpovědět, než SSHD ukončí připojení SSH s vypršením časového limitu.

Chcete-li toto chování změnit, postupujte podle následujících kroků.

Upravte konfigurační soubor SSHD jako uživatel root:
 

/etc/ssh/sshd_config

Změňte hodnoty v následujícím příkladu:
 

ClientAliveInterval 7200
ClientAliveCountMax 4

Ve výše uvedeném příkladu to znamená, že každé dvě hodiny odešle SSHD klientovi SSH požadavek na poskytnutí jakéhokoli druhu udržování připojení. Vzhledem k tomu, že hodnota "ClientAliveCountMax" je nastavena na čtyři, má klient čtyři šance odpovědět, než SSHD ukončí připojení.

Uložte konfigurační soubor SSHD.

Před restartováním služby otestujte konfiguraci.
 

sshd -t

Pokud se nezobrazí žádné problémy, restartujte službu.
 

service sshd restart

Časový limit

profilu BashSoftware Avamar nastaví proměnnou prostředí "TMOUT" v profilu Bash, který používají uživatelé admin i root.

Tento časový limit se aplikuje na samotné prostředí odděleně od SSHD.

To se nastavuje v následujícím souboru:
 

/etc/profile

Proměnná je nastavená na výchozí hodnotu dole v dolní části souboru:
 

TMOUT=900

Výchozí hodnota 900 je v sekundách, což je 15 minut.

Chcete-li toto chování změnit, upravte proměnnou časového limitu:
 

TMOUT=7200

Uložte soubor profilu Bash.

Aby se změna po změně souboru profilu bash projevila, restartujte relaci ssh.


Konfigurace

udržování připojení klienta SSHJe možné použít mnoho různých klientů SSH.

Následující příklad je převzat z PuTTY.

Klienta SSH lze nakonfigurovat tak, aby odesílal pakety ssh keep-alive, aby zůstalo připojení otevřené a splňovalo se možnosti "ClientAlive*" použité v konfiguračním souboru SSHD.

Nastavte sekundy mezi udržovacími prvky, což znamená, že každých 300 sekund odešle PuTTY na server paket ssh keepalive.

Zaškrtnutím tohoto políčka také obecně povolíte udržování protokolu TCP.