Avamar: Hantera tidsgräns för SSH-anslutning

I Avamar version 19.3 och senare är standardkonfigurationen för Avamar SSH-timeout att vara STIG-kompatibel.

Det finns tre delar för att konfigurera en SSH-timeout.

• Konfiguration av SSH Daemon (SSHD)
• Miljövariabel för Bash-profiltimeout
• SSH-klient keep-alive-konfiguration

SSHD-konfiguration

Secure Shell-daemonprogrammet (SSH-daemon eller sshd) är daemonprogrammet för ssh.

Följande två alternativ i SSHD-konfigurationsfilen kan användas för att hantera ssh-tidsgränsen.
 

ClientAliveInterval
ClientAliveCountMax

Standardvärdena som används för Avamar är STIG-kompatibla som en del av Avamar-härdning är nedan:
 

ClientAliveInterval 600
ClientAliveCountMax 1

Detta innebär att SSHD var tionde minut skickar en begäran till SSH-klienten om att tillhandahålla någon form av keep-alive
.Eftersom "ClientAliveCountMax" är inställt på ett finns det bara en chans för klienten att svara innan SSHD avslutar ssh-anslutningen med en tidsgräns.

Följ stegen nedan om du vill ändra det här beteendet.

Redigera SSHD-konfigurationsfilen som rotanvändare:
 

/etc/ssh/sshd_config

Ändra värdena som ett exempel nedan:
 

ClientAliveInterval 7200
ClientAliveCountMax 4

I exemplet ovan innebär det att SSHD varannan timme skickar en begäran till SSH-klienten om att tillhandahålla någon form av keep-alive. Eftersom "ClientAliveCountMax" är inställt på fyra har klienten fyra chanser att svara innan SSHD avslutar anslutningen.

Spara SSHD-konfigurationsfilen.

Testa konfigurationen innan du startar om tjänsten.
 

sshd -t

Om inga problem returneras startar du om tjänsten.
 

service sshd restart

Tidsgräns för

bash-profilAvamar anger miljövariabeln "TMOUT" i bash-profilen som används av både administratörs- och rotanvändare.

Den här tidsgränsen tillämpas på själva gränssnittet, separat från SSHD.

Detta anges i följande fil:
 

/etc/profile

Variabeln är inställd på default nedan längst ned i filen:
 

TMOUT=900

Standardvärdet 900 är i sekunder, vilket är 15 minuter.

Om du vill ändra det här beteendet redigerar du timeout-variabeln:
 

TMOUT=7200

Spara bash-profilfilen.

När du har ändrat bash-profilfilen startar du om ssh-sessionen för att ändringen ska träda i kraft.


SSH-klient Keep-Alive-konfiguration

Det finns många olika SSH-klienter som kan användas.

Följande exempel är hämtat från PuTTY.

SSH-klienten kan konfigureras för att skicka ssh keep-alive-paket för att hålla anslutningen öppen och uppfylla de "ClientAlive*"-alternativ som tillämpas i SSHD-konfigurationsfilen.

Ställ in sekunderna mellan keepalives, vilket innebär att var 300:e sekund skickar PuTTY ett ssh keepalive-paket till servern.

Markera också kryssrutan för att aktivera TCP-keepalives i allmänhet.