Avamar: SSH-yhteyden aikakatkaisun hallinta

Avamarin versiossa 19.3 ja uudemmissa versioissa Avamar SSH -aikakatkaisun oletusmääritysten on oltava STIG-yhteensopivia.

SSH-aikakatkaisun määrittämiseen on kolme osaa.

• SSH Daemon (SSHD) -määritys
• Bash-profiilin aikakatkaisuympäristö, muuttuva
• SSH-asiakkaan live-määritys

SSHD-kokoonpano

Secure Shell Daemon -sovellus (SSH daemon tai sshd) on ssh:n daemon-ohjelma.

Seuraavia kahta SSHD-määritystiedoston asetusta voidaan käyttää ssh-aikakatkaisun hallintaan.
 

ClientAliveInterval
ClientAliveCountMax

Seuraavat Avamar on STIG-yhteensopivia osana Avamar-kovettumista:
 

ClientAliveInterval 600
ClientAliveCountMax 1

Tämä tarkoittaa, että SSHD lähettää kymmenen minuutin välein SSH-asiakkaalle pyynnön tarjota minkäänlaista hengissä pitämistä.
Koska ClientAliveCountMax-arvo on yksi, asiakkaalla on vain yksi mahdollisuus vastata, ennen kuin SSHD katkaisee ssh-yhteyden aikakatkaisulla.

Voit muuttaa tätä toimintaa seuraavasti.

Muokkaa SSHD-määritystiedostoa pääkäyttäjänä:
 

/etc/ssh/sshd_config

Muuta arvoja alla olevana esimerkkinä:
 

ClientAliveInterval 7200
ClientAliveCountMax 4

Yllä olevassa esimerkissä tämä tarkoittaa, että SSHD lähettää kahden tunnin välein SSH-asiakkaalle pyynnön tarjota minkäänlaista hengissä pitämistä. Koska ClientAliveCountMax-asetuksena on neljä, asiakkaalla on neljä mahdollisuutta vastata, ennen kuin SSHD katkaisee yhteyden.

Tallenna SSHD-määritystiedosto.

Testaa määritykset ennen palvelun uudelleenkäynnistystä.
 

sshd -t

Jos ongelmia ei palauteta, käynnistä palvelu uudelleen.
 

service sshd restart

Bash-profiilin aikakatkaisu

Avamar määrittää TMOUT-ympäristömuuttujan bash-profiilissa, jota sekä admin- että root-käyttäjät käyttävät.

Tämä aikakatkaisu kohdistetaan itse komentotulkkiin erillään SSHD:stä.

Tämä asetus on seuraavassa tiedostossa:
 

/etc/profile

Muuttujan oletusasetuksena on alla tiedoston alaosassa:
 

TMOUT=900

Oletusarvo 900 on sekunteina eli 15 minuuttia.

Voit muuttaa tätä toimintaa muokkaamalla aikakatkaisumuuttujaa:
 

TMOUT=7200

Tallenna bash-profiilitiedosto.

Kun olet muuttanut bash-profiilitiedostoa, käynnistä ssh-istunto uudelleen, jotta muutos tulee voimaan.


SSH-asiakkaan Keep Alive-määritys

On olemassa monia erilaisia SSH-asiakkaita, joita voidaan käyttää.

Seuraava esimerkki on otettu PuTTY: stä.

SSH-asiakas voidaan määrittää lähettämään ssh keep-alive -paketteja, jotka pitävät yhteyden auki ja täyttävät SSHD-määritystiedoston ClientAlive*-asetukset.

Aseta sekunnit keepaliveen välillä, mikä tarkoittaa, että PuTTY lähettää 300 sekunnin välein ssh keepalive -paketin palvelimelle.

Valitse myös valintaruutu, jos haluat ottaa TCP-keepalivet yleisesti käyttöön.