「Avamar：SSH接続タイムアウトの管理

Avamarバージョン19.3以降では、Avamar SSHタイムアウトのデフォルト構成はSTIG準拠です。

SSHタイムアウトの設定には、3つの要素があります。

• SSHデーモン(SSHD)の構成
• Bashプロファイル タイムアウト環境変数
• SSHクライアントのキープアライブ設定

SSHD構成

Secure Shellデーモン アプリケーション(SSHデーモンまたはsshd)は、ssh用のデーモン プログラムです。

SSHD構成ファイルの次の2つのオプションを使用して、sshタイムアウトを管理できます。
 

ClientAliveInterval
ClientAliveCountMax

Avamarに使用されるデフォルト値は、Avamar強化の一環としてSTIGに準拠しています。
 

ClientAliveInterval 600
ClientAliveCountMax 1

つまり、SSHDは10分ごとにSSHクライアントにリクエストを送信して、あらゆる種類のキープアライブを提供します。
「ClientAliveCountMax」は1に設定されているため、SSHDがタイムアウトでssh接続を終了する前に、クライアントが応答する機会は1回だけです。

この動作を変更するには、次の手順に従います。

rootユーザーとしてSSHD構成ファイルを編集します。
 

/etc/ssh/sshd_config

次の例のように値を変更します。
 

ClientAliveInterval 7200
ClientAliveCountMax 4

上記の例では、SSHDは2時間ごとにSSHクライアントにリクエストを送信して、あらゆる種類のキープアライブを提供することを意味します。「ClientAliveCountMax」は4に設定されているため、SSHDが接続を終了するまでに、クライアントが応答するチャンスは4回あります。

SSHD構成ファイルを保存します。

サービスを再起動する前に、構成をテストします。
 

sshd -t

問題が返されない場合は、サービスを再起動します。
 

service sshd restart

Bashプロファイル タイムアウト

Avamarは、adminユーザーとrootユーザーの両方が使用するbashプロファイルに「TMOUT」環境変数を設定します。

このタイムアウトは、SSHDとは別に、シェル自体に適用されます。

これは、次のファイルで設定されます。
 

/etc/profile

変数は、以下のファイルの下部でデフォルトに設定されています。
 

TMOUT=900

デフォルト値の900は秒単位(15分)です。

この動作を変更するには、タイムアウト変数を編集します。
 

TMOUT=7200

bashプロファイル ファイルを保存します。

bashプロファイル ファイルを変更した後、変更を有効にするには、sshセッションを再起動します。


SSHクライアントのキープアライブ構成

使用できるSSHクライアントは多数あります。

次の例はPuTTYから抜粋したものです。

SSHクライアントは、sshキープアライブ パケットを送信して接続を開いたままにし、SSHD構成ファイルで適用されている「ClientAlive*」オプションを満たすように構成できます。

キープアライブ間の秒数を設定します。つまり、PuTTYは300秒ごとにsshキープアライブ パケットをサーバーに送信します。

また、一般的にTCPキープアライブを有効にするには、このチェックボックスを選択します。