Avamar: Zarządzanie limitem czasu połączenia SSH

W Avamar w wersji 19.3 i nowszych domyślna konfiguracja limitu czasu SSH Avamar jest zgodna ze standardem STIG.

Limit czasu SSH składa się z trzech elementów.

• Konfiguracja demona SSH (SSHD)
• Zmienna środowiskowa limitu czasu profilu powłoki Bash
• Konfiguracja utrzymywania aktywności klienta SSH

Konfiguracja

dysku SSHDAplikacja Secure Shell Daemon (demon SSH lub sshd) to program demona dla ssh.

Poniższe dwie opcje w pliku konfiguracyjnym SSHD mogą służyć do zarządzania limitem czasu SSH.
 

ClientAliveInterval
ClientAliveCountMax

Domyślne wartości używane dla Avamar są zgodne ze STIG w ramach wzmacniania zabezpieczeń Avamar są następujące:
 

ClientAliveInterval 600
ClientAliveCountMax 1

Oznacza to, że co dziesięć minut SSHD wysyła żądanie do klienta SSH w celu zapewnienia dowolnego rodzaju utrzymywania aktywności.
Ponieważ wartość "ClientAliveCountMax" jest ustawiona na jeden, istnieje tylko jedna szansa, aby klient odpowiedział, zanim SSHD zakończy połączenie SSH z upływem limitu czasu.

Aby zmienić to zachowanie, wykonaj poniższe czynności.

Edytuj plik konfiguracyjny SSHD jako użytkownik root:
 

/etc/ssh/sshd_config

Zmień wartości zgodnie z poniższym przykładem:
 

ClientAliveInterval 7200
ClientAliveCountMax 4

W powyższym przykładzie oznacza to, że co dwie godziny SSHD wysyła żądanie do klienta SSH w celu zapewnienia dowolnego rodzaju utrzymywania aktywności. Ponieważ wartość "ClientAliveCountMax" jest ustawiona na cztery, klient ma cztery szanse na odpowiedź, zanim SSHD zakończy połączenie.

Zapisz plik konfiguracyjny SSHD.

Przetestuj konfigurację przed ponownym uruchomieniem usługi.
 

sshd -t

Jeśli nie zostaną zwrócone żadne problemy, uruchom ponownie usługę.
 

service sshd restart

Limit

czasu profilu powłoki BashAvamar ustawia zmienną środowiskową "TMOUT" w profilu bash używanym zarówno przez użytkowników admin, jak i root.

Ten limit czasu jest stosowany do samej powłoki, niezależnie od dysku SSHD.

Jest to ustawiane w następującym pliku:
 

/etc/profile

Zmienna jest ustawiona na wartość domyślną poniżej w dolnej części pliku:
 

TMOUT=900

Wartość domyślna 900 jest wyrażona w sekundach, czyli 15 minut.

Aby zmienić to zachowanie, edytuj zmienną limitu czasu:
 

TMOUT=7200

Zapisz plik profilu powłoki bash.

Aby zmiana została wprowadzona, po zmianie pliku profilu bash należy ponownie uruchomić sesję SSH.


Konfiguracja

utrzymywania aktywności klienta SSHIstnieje wiele różnych klientów SSH, których można używać.

Poniższy przykład pochodzi z programu PuTTY.

Klienta SSH można skonfigurować tak, aby wysyłał pakiety SSH keep-alive, aby połączenie było otwarte i spełniało wymagania opcji "ClientAlive*" zastosowanych w pliku konfiguracyjnym SSHD.

Ustaw sekundy między zatrzymaniami, co oznacza, że co 300 sekund PuTTY wysyła pakiet ssh keepalive do serwera.

Zaznacz również pole wyboru, aby ogólnie włączyć elementy utrzymania TCP.