Avamar: Managen von SSH-Verbindungs-Timeouts

Summary: In diesem Artikel wird gezeigt, wie Sie das Avamar-SSH-Timeout managen.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

WARNUNG: Das Ändern der Timeout-Konfiguration auf Avamar wird nicht empfohlen, da dies die STIG-Compliance nicht erfüllt und Sitzungen länger aktiv bleiben.


In Avamar Version 19.3 und höher ist die Standardkonfiguration für das Avamar SSH-Timeout STIG-konform.

Die Konfiguration eines SSH-Timeouts besteht aus drei Teilen.
  • Konfiguration des SSH-Daemon (SSHD)
  • Umgebungsvariable Zeitüberschreitung des Bash-Profils
  • SSH-Client-Keep-Alive-Konfiguration

SSHD-Konfiguration

Die Secure-Shell-Daemon-Anwendung (SSH-Daemon oder sshd) ist das Daemon-Programm für SSH.

Die folgenden beiden Optionen in der SSHD-Konfigurationsdatei können verwendet werden, um das SSH-Timeout zu verwalten.
  
ClientAliveInterval
ClientAliveCountMax

Die Standardwerte, die für Avamar sind STIG-konform im Rahmen der Avamar-Sicherheitsverstärkung verwendet werden, sind unten:
  
ClientAliveInterval 600
ClientAliveCountMax 1

Das bedeutet, dass SSHD alle zehn Minuten eine Anfrage an den SSH-Client sendet, um irgendeine Art von Keepalive bereitzustellen.
Da "ClientAliveCountMax" auf 1 festgelegt ist, gibt es nur eine Chance für den Client, zu reagieren, bevor SSHD die SSH-Verbindung mit einem Timeout beendet.

Um dieses Verhalten zu ändern, führen Sie die folgenden Schritte aus.

Bearbeiten Sie die SSHD-Konfigurationsdatei als Root-Nutzer:
  
/etc/ssh/sshd_config

Ändern Sie die Werte als Beispiel unten:
  
ClientAliveInterval 7200
ClientAliveCountMax 4

Im obigen Beispiel bedeutet dies, dass SSHD alle zwei Stunden eine Anforderung an den SSH-Client sendet, um eine beliebige Art von Keep-Alive bereitzustellen. Da "ClientAliveCountMax" auf vier festgelegt ist, hat der Client vier Möglichkeiten, zu reagieren, bevor SSHD die Verbindung beendet.

Speichern Sie die SSHD-Konfigurationsdatei.

Testen Sie die Konfiguration, bevor Sie den Service neu starten.
  
sshd -t

Wenn keine Probleme zurückgegeben werden, starten Sie den Service neu.
  
service sshd restart


Timeout des Bash-Profils

Avamar legt die Umgebungsvariable "TMOUT" im Bash-Profil fest, das sowohl von Admin- als auch von Root-Nutzern verwendet wird.

Dieses Timeout wird auf die Shell selbst angewendet, getrennt von SSHD.

Dies wird in der folgenden Datei festgelegt:
  
/etc/profile

Die Variable wird unten in der Datei auf die Standardeinstellung festgelegt:
  
TMOUT=900

Der Standardwert von 900 wird in Sekunden angegeben, also 15 Minuten.

Um dieses Verhalten zu ändern, bearbeiten Sie die Timeout-Variable:
  
TMOUT=7200

Speichern Sie die Bash-Profildatei.

Starten Sie nach dem Ändern der Bash-Profildatei die SSH-Sitzung neu, damit die Änderung wirksam wird.


SSH-Client-Keep-Alive-Konfiguration

Es gibt viele verschiedene SSH-Clients, die verwendet werden können.

Das folgende Beispiel stammt aus PuTTY.

Der SSH-Client kann so konfiguriert werden, dass er SSH-Keep-Alive-Pakete sendet, um die Verbindung offen zu halten und die in der SSHD-Konfigurationsdatei angewendeten "ClientAlive*"-Optionen zu erfüllen.

Legen Sie die Sekunden zwischen Keepalives fest, d. h. alle 300 Sekunden sendet PuTTY ein SSH-Keepalive-Paket an den Server.

Aktivieren Sie außerdem das Kontrollkästchen, um TCP-Keepalives generell zu aktivieren.

PuTT-Keep-Alive-Konfiguration

Affected Products

Avamar
Article Properties
Article Number: 000223301
Article Type: How To
Last Modified: 19 Mar 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.