Avamar. Управление временем ожидания подключения SSH

В Avamar версии 19.3 и более поздних конфигурацию по умолчанию для тайм-аута SSH Avamar следует соблюдать STIG.

Настройка времени ожидания SSH состоит из трех частей.

• Настройка управляющей программы SSH (SSHD)
• Переменная среды таймаута профиля Bash
• Конфигурация keep-alive клиента SSH

Конфигурация

SSHDУправляющая программа Secure Shell (управляющая программа SSH или sshd) — это управляющая программа для ssh.

Для управления тайм-аутом SSH можно использовать следующие два параметра в файле конфигурации SSHD.
 

ClientAliveInterval
ClientAliveCountMax

Ниже приведены значения по умолчанию, используемые для Avamar в соответствии с STIG в рамках усиления безопасности Avamar.
 

ClientAliveInterval 600
ClientAliveCountMax 1

Это означает, что каждые десять минут SSHD отправляет запрос клиенту SSH на предоставление любого вида keep-alive.
Так как для «ClientAliveCountMax» установлено значение «один», у клиента есть только один шанс ответить, прежде чем SSHD разорвет соединение SSH с тайм-аутом.

Чтобы изменить это поведение, выполните следующие действия.

Отредактируйте файл конфигурации SSHD в качестве пользователя root:
 

/etc/ssh/sshd_config

Измените значения, как показано в примере ниже:
 

ClientAliveInterval 7200
ClientAliveCountMax 4

В приведенном выше примере это означает, что каждые два часа SSHD отправляет запрос клиенту SSH на предоставление любого вида keep-alive. Так как для параметра «ClientAliveCountMax» установлено значение 4, у клиента есть четыре шанса ответить, прежде чем SSHD разорвет соединение.

Сохраните файл конфигурации SSHD.

Проверьте конфигурацию перед перезапуском службы.
 

sshd -t

Если проблемы не устранены, перезапустите службу.
 

service sshd restart

Истечение

времени ожидания профиля BashAvamar устанавливает переменную среды «TMOUT» в профиле bash, который используется пользователями admin и root.

Это время ожидания применяется к самой оболочке, отдельно от SSHD.

Этот параметр задается в следующем файле:
 

/etc/profile

Значение переменной установлено по умолчанию ниже в нижней части файла:
 

TMOUT=900

Значение по умолчанию — 900 — в секундах, то есть в 15 минутах.

Чтобы изменить это поведение, измените переменную timeout:
 

TMOUT=7200

Сохраните файл профиля bash.

После изменения файла профиля bash, чтобы изменения вступили в силу, перезапустите сеанс SSH.


Конфигурация

Keep-Alive клиента SSHСуществует множество различных клиентов SSH, которые можно использовать.

Следующий пример взят из PuTTY.

Клиент SSH может быть настроен на отправку пакетов SSH keep-alive, чтобы соединение оставалось открытым и удовлетворяло параметрам «ClientAlive*», примененным в файле конфигурации SSHD.

Установите секунды между keepalives, то есть каждые 300 секунд PuTTY отправляет пакет ssh keepalive на сервер

.Кроме того, установите флажок, чтобы включить TCP-keepalives в целом.