Авамар: Керування тайм-аутом з'єднання SSH

У версії Avamar 19.3 і новіших конфігурація за замовчуванням для часу очікування Avamar SSH має бути сумісною зі STIG.

Налаштовування часу очікування SSH складається з трьох частин.

• Налаштування фонової служби SSH (SSHD)
• Змінна середовища очікування профілю Bash
• Конфігурація підтримки підтримки клієнта SSH

Конфігурація

SSHDПрограма фонової служби Secure Shell (фонова служба SSH або sshd) є програмою фонової служби для ssh.

Для керування часом очікування ssh можна скористатися наведеними нижче двома параметрами у файлі налаштувань SSHD.
 

ClientAliveInterval
ClientAliveCountMax

Значення за замовчуванням, які використовуються для Avamar, сумісні з STIG як частина зміцнення Avamar, наведені нижче:
 

ClientAliveInterval 600
ClientAliveCountMax 1

Це означає, що кожні десять хвилин SSHD надсилає запит клієнту SSH з проханням забезпечити будь-яке підтримання працездатності.
Оскільки для параметра "ClientAliveCountMax" встановлено значення одиниці, у клієнта є лише один шанс відповісти до того, як SSHD завершить з'єднання ssh із перевищенням часу очікування.

Щоб змінити цю поведінку, виконайте наведені нижче дії.

Відредагуйте файл конфігурації SSHD від імені користувача root:
 

/etc/ssh/sshd_config

Змініть значення, як показано в прикладі нижче:
 

ClientAliveInterval 7200
ClientAliveCountMax 4

У наведеному вище прикладі це означає, що кожні дві години SSHD надсилає запит клієнту SSH з проханням забезпечити будь-яке підтримання працездатності. Оскільки для параметра "ClientAliveCountMax" встановлено значення чотири, клієнт має чотири шанси відповісти до того, як SSHD розірве з'єднання.

Збережіть файл конфігурації SSHD.

Протестуйте конфігурацію перед перезапуском служби.
 

sshd -t

Якщо проблеми не повернулися, перезапустіть службу.
 

service sshd restart

Тайм-аут

профілю BashAvamar встановлює змінну середовища "TMOUT" у профілі bash, який використовується як адміністраторами, так і користувачами root.

Цей тайм-аут буде застосовано до самої оболонки, окремо від SSHD.

Це встановлено у наступному файлі:
 

/etc/profile

Змінна встановлена за замовчуванням нижче внизу файлу:
 

TMOUT=900

Значення за замовчуванням 900 вказано в секундах, тобто 15 хвилин.

Щоб змінити цю поведінку, відредагуйте змінну timeout:
 

TMOUT=7200

Збережіть файл профілю bash.

Після зміни файла профілю bash, щоб зміни набули чинності, перезапустіть сеанс ssh.


Конфігурація

підтримки активності клієнта SSHІснує багато різних клієнтів SSH, які можна використовувати.

Наступний приклад взятий з PuTTY.

Клієнт SSH можна налаштувати на надсилання пакетів ssh для підтримання зв'язку з таким чином, щоб з'єднання залишалося відкритим і відповідало параметрам «ClientAlive*», які застосовано у файлі налаштувань SSHD.

Встановіть секунди між keepalives, тобто кожні 300 секунд PuTTY надсилає пакет ssh keepalive на сервер

.Крім того, встановіть прапорець, щоб увімкнути підтримку TCP загалом.