Avamar: Administrer timeout for SSH-forbindelse

I Avamar version 19.3 og nyere er standardkonfigurationen for Avamar SSH-timeout at være STIG-kompatibel.

Der er tre dele til konfiguration af en SSH-timeout.

• SSH Daemon (SSHD)-konfiguration
• Timeoutmiljø for Bash-profil variabel
• SSH Client keep-alive-konfiguration

SSHD-konfiguration

Secure Shell Daemon-applikationen (SSH-dæmon eller sshd) er dæmonprogrammet til ssh.

Følgende to indstillinger i SSHD-konfigurationsfilen kan bruges til at administrere ssh-timeout.
 

ClientAliveInterval
ClientAliveCountMax

Standardværdierne, der bruges til Avamar, er STIG-kompatible som en del af Avamar-hærdning, er nedenfor:
 

ClientAliveInterval 600
ClientAliveCountMax 1

Dette betyder, at SSHD hvert tiende minut sender en anmodning til SSH-klienten om at levere enhver form for holde i live.
Da "ClientAliveCountMax" er indstillet til én, har klienten kun én chance for at svare, før SSHD afslutter ssh-forbindelsen med en timeout.

Følg nedenstående trin for at ændre denne funktionsmåde.

Rediger SSHD-konfigurationsfilen som root-bruger:
 

/etc/ssh/sshd_config

Skift værdierne som et eksempel nedenfor:
 

ClientAliveInterval 7200
ClientAliveCountMax 4

Med eksemplet ovenfor betyder det, at SSHD hver anden time sender en anmodning til SSH-klienten om at levere enhver form for holde i live. Da "ClientAliveCountMax" er indstillet til fire, har klienten fire chancer for at svare, før SSHD afslutter forbindelsen.

Gem SSHD-konfigurationsfilen.

Test konfigurationen, før du genstarter tjenesten.
 

sshd -t

Hvis der ikke er nogen problemer tilbage, skal du genstarte tjenesten.
 

service sshd restart

Bash-profiltimeout

Avamar indstiller miljøvariablen "TMOUT" i bash-profilen, der bruges af både admin- og rodbrugere.

Denne timeout anvendes på selve skallen, adskilt fra SSHD.

Dette er angivet i følgende fil:
 

/etc/profile

Variablen er indstillet til standard nedenfor mod bunden af filen:
 

TMOUT=900

Standardværdien på 900 er i sekunder, hvilket er 15 minutter.

Hvis du vil ændre denne funktionsmåde, skal du redigere variablen timeout:
 

TMOUT=7200

Gem bash-profilfilen.

Når du har ændret bash-profilfilen, skal du genstarte ssh-sessionen for at ændringen skal træde i kraft.


SSH Client Keep-Alive-konfiguration

Der er mange forskellige SSH-klienter, der kan bruges.

Følgende eksempel er taget fra PuTTY.

SSH-klienten kan konfigureres til at sende ssh keep-alive-pakker for at holde forbindelsen åben og opfylde de "ClientAlive*"-indstillinger, der anvendes i SSHD-konfigurationsfilen.

Indstil sekunderne mellem keepalives, hvilket betyder, at PuTTY hvert 300. sekund sender en ssh keepalive-pakke til serveren.

Vælg også afkrydsningsfeltet for at aktivere TCP keepalives generelt.