Avamar: Managen von SSH-Verbindungs-Timeouts

In Avamar Version 19.3 und höher ist die Standardkonfiguration für das Avamar SSH-Timeout STIG-konform.

Die Konfiguration eines SSH-Timeouts besteht aus drei Teilen.

• Konfiguration des SSH-Daemon (SSHD)
• Umgebungsvariable Zeitüberschreitung des Bash-Profils
• SSH-Client-Keep-Alive-Konfiguration

SSHD-Konfiguration

Die Secure-Shell-Daemon-Anwendung (SSH-Daemon oder sshd) ist das Daemon-Programm für SSH.

Die folgenden beiden Optionen in der SSHD-Konfigurationsdatei können verwendet werden, um das SSH-Timeout zu verwalten.
 

ClientAliveInterval
ClientAliveCountMax

Die Standardwerte, die für Avamar sind STIG-konform im Rahmen der Avamar-Sicherheitsverstärkung verwendet werden, sind unten:
 

ClientAliveInterval 600
ClientAliveCountMax 1

Das bedeutet, dass SSHD alle zehn Minuten eine Anfrage an den SSH-Client sendet, um irgendeine Art von Keepalive bereitzustellen.
Da "ClientAliveCountMax" auf 1 festgelegt ist, gibt es nur eine Chance für den Client, zu reagieren, bevor SSHD die SSH-Verbindung mit einem Timeout beendet.

Um dieses Verhalten zu ändern, führen Sie die folgenden Schritte aus.

Bearbeiten Sie die SSHD-Konfigurationsdatei als Root-Nutzer:
 

/etc/ssh/sshd_config

Ändern Sie die Werte als Beispiel unten:
 

ClientAliveInterval 7200
ClientAliveCountMax 4

Im obigen Beispiel bedeutet dies, dass SSHD alle zwei Stunden eine Anforderung an den SSH-Client sendet, um eine beliebige Art von Keep-Alive bereitzustellen. Da "ClientAliveCountMax" auf vier festgelegt ist, hat der Client vier Möglichkeiten, zu reagieren, bevor SSHD die Verbindung beendet.

Speichern Sie die SSHD-Konfigurationsdatei.

Testen Sie die Konfiguration, bevor Sie den Service neu starten.
 

sshd -t

Wenn keine Probleme zurückgegeben werden, starten Sie den Service neu.
 

service sshd restart

Timeout des Bash-Profils

Avamar legt die Umgebungsvariable "TMOUT" im Bash-Profil fest, das sowohl von Admin- als auch von Root-Nutzern verwendet wird.

Dieses Timeout wird auf die Shell selbst angewendet, getrennt von SSHD.

Dies wird in der folgenden Datei festgelegt:
 

/etc/profile

Die Variable wird unten in der Datei auf die Standardeinstellung festgelegt:
 

TMOUT=900

Der Standardwert von 900 wird in Sekunden angegeben, also 15 Minuten.

Um dieses Verhalten zu ändern, bearbeiten Sie die Timeout-Variable:
 

TMOUT=7200

Speichern Sie die Bash-Profildatei.

Starten Sie nach dem Ändern der Bash-Profildatei die SSH-Sitzung neu, damit die Änderung wirksam wird.


SSH-Client-Keep-Alive-Konfiguration

Es gibt viele verschiedene SSH-Clients, die verwendet werden können.

Das folgende Beispiel stammt aus PuTTY.

Der SSH-Client kann so konfiguriert werden, dass er SSH-Keep-Alive-Pakete sendet, um die Verbindung offen zu halten und die in der SSHD-Konfigurationsdatei angewendeten "ClientAlive*"-Optionen zu erfüllen.

Legen Sie die Sekunden zwischen Keepalives fest, d. h. alle 300 Sekunden sendet PuTTY ein SSH-Keepalive-Paket an den Server.

Aktivieren Sie außerdem das Kontrollkästchen, um TCP-Keepalives generell zu aktivieren.