Avamar: Time-out voor SSH-verbinding beheren

In Avamar versie 19.3 en hoger is de standaardconfiguratie voor Avamar SSH time-out STIG-compatibel.

Er zijn drie onderdelen voor het configureren van een SSH time-out.

• Configuratie van SSH-daemon (SSHD)
• Bash-profiel time-out omgeving variabel
• SSH Client keep-alive configuratie

SSHD-configuratie

De Secure Shell Daemon applicatie (SSH daemon of sshd) is het daemon programma voor ssh.

De volgende twee opties in het SSHD-configuratiebestand kunnen worden gebruikt om de ssh time-out te beheren.
 

ClientAliveInterval
ClientAliveCountMax

De standaardwaarden die worden gebruikt voor Avamar zijn STIG-compatibel als onderdeel van Avamar-verharding.
 

ClientAliveInterval 600
ClientAliveCountMax 1

Dit betekent dat SSHD elke tien minuten een verzoek stuurt naar de SSH-client om enige vorm van keep-alive te bieden.
Aangezien de "ClientAliveCountMax" is ingesteld op één, is er slechts één kans voor de client om te reageren voordat SSHD de ssh-verbinding beëindigt met een time-out.

Volg de onderstaande stappen om dit gedrag te wijzigen.

Bewerk het SSHD-configuratiebestand als hoofdgebruiker:
 

/etc/ssh/sshd_config

Wijzig de waarden als voorbeeld hieronder:
 

ClientAliveInterval 7200
ClientAliveCountMax 4

In het bovenstaande voorbeeld betekent dit dat SSHD elke twee uur een verzoek stuurt naar de SSH-client om een soort keep-alive te bieden. Aangezien de "ClientAliveCountMax" is ingesteld op vier, heeft de client vier kansen om te reageren voordat SSHD de verbinding beëindigt.

Sla het SSHD-configuratiebestand op.

Test de configuratie voordat u de service opnieuw start.
 

sshd -t

Als er geen problemen zijn geretourneerd, start u de service opnieuw.
 

service sshd restart

Time-out

bash-profielAvamar stelt de variabele "TMOUT"-omgeving in het bash-profiel in dat wordt gebruikt door zowel admin- als rootgebruikers.

Deze time-out wordt toegepast op de shell zelf, los van SSHD.

Dit wordt ingesteld in het volgende bestand:
 

/etc/profile

De variabele wordt ingesteld op de standaardinstelling hieronder aan de onderkant van het bestand:
 

TMOUT=900

De standaardwaarde van 900 is in seconden, wat neerkomt op 15 minuten.

Als u dit gedrag wilt wijzigen, bewerkt u de time-outvariabele:
 

TMOUT=7200

Sla het bash-profielbestand op.

Start na het wijzigen van het bash-profielbestand de ssh-sessie opnieuw op om de wijziging door te voeren.


SSH Client Keep-Alive configuratie

Er zijn veel verschillende SSH-clients die kunnen worden gebruikt.

Het volgende voorbeeld is afkomstig van PuTTY.

De SSH-client kan worden geconfigureerd om ssh keep-alive-pakketten te verzenden om de verbinding open te houden en te voldoen aan de "ClientAlive*"-opties die worden toegepast in het SSHD-configuratiebestand.

Stel de seconden tussen keepalives in, wat betekent dat PuTTY elke 300 seconden een ssh keepalive-pakket naar de server stuurt.

Schakel ook het selectievakje in om TCP-keepalives in het algemeen in te schakelen.