Hvis du er administrator, kender du værdien af Secure Shell. Uden dette værktøj ville du være hårdt presset for at få meget fjernadministration udført på dine servere. Faktisk har du sandsynligvis SSH ind og ud af maskiner hele dagen. Eller, du kan SSH ind i en server og uforvarende forlade denne forbindelse op i løbet af dagen.
og det, mine venner, inviterer problemer.
Hvad hvis du lader forbindelsen være i gang, og der sker nogen ved dit skrivebord, mens du er væk. At nogen kunne have plads og have på din server. Det vil du ikke have. Eller hvad hvis du har andre brugere, der sikrer shell til disse servere, og du kan ikke se over deres skuldre hele dagen?
dette er ikke noget, du skal overlade til tilfældighederne.
kan du gøre noget ved det? Det kan du helt sikkert. Secure Shell inkluderer en timeout-funktion, der giver dig mulighed for at konfigurere SSH-serveren, så den afbryder en bruger efter en bestemt periode med inaktivitet.
Lad mig vise dig, hvordan dette gøres. 10 sikkerhed: en guide til virksomhedsledere (TechRepublic Premium)
hvad du skal bruge
-
en server med SSH installeret og kører korrekt
-
en bruger med sudo-privilegier
Sådan konfigureres Secure Shell til timeouts på serveren
ud af boksen, SSH-daemon-konfigurationen konfigurerer ikke de nødvendige muligheder for at aktivere inaktive timeouts. Det er fint, fordi vi nemt kan tilføje dem. Der er dog to typer konfigurationer, vi ønsker at tage os af. Den første er at forhindre, at inaktive sessioner forbliver forbundet på serverenden.
for at tage sig af dette skal du åbne konfigurationsfilen på serveren til redigering med kommandoen:
sudo nano /etc/ssh/sshd_config
Rul til bunden af den fil og tilføj følgende tre linjer:
TCPKeepAlive yesClientAliveInterval 30ClientAliveCountMax 2
standard ClientAliveInterval er i sekunder. Du kan også bruge:
ClientAliveInterval 5m
tricket er dog i indstillingen Clientalivecountmaks. Det informerer SSH-dæmonen, hvor mange gange der skal tælles timeoutintervallet. Så hvis du indstiller Clientalivecountmaks til 2, ville det tælle to gange ClientAliveInterval. Hvis du indstiller ClientAliveInterval til 5m og Clientalivecountmaks til 2, vil den samlede timeout være 10 minutter.
Du kan også indstille indstillingerne til:
ClientAliveInterval 10mClientAliveCountMax 0
ovenstående konfiguration ville også timeout efter 10 minutters inaktivitet.
Når du har lavet dine konfigurationer, skal du genstarte SSH-dæmonen med kommandoen:
sudo systemctl restart sshd
ovenstående konfiguration tager sig af eventuelle inaktive sessioner fra serverens ende af tingene.
Sådan konfigureres Secure Shell til klienttimeouts
nu skal vi indstille timeout på klientenden. Du behøver ikke at gøre dette, da serverindstillingen skal tage sig af idle timeouts. Men hvis du er af den alt for forsigtige overtalelse, vil du måske forhindre enhver klient i at forblive forbundet til enhver fjernserver via SSH. Desværre kan dette ikke indstilles globalt på serveren, men skal tages hånd om på de enkelte klienter.
konfigurationen håndteres i .bashrc-fil. Men i stedet for at gå gennem hver brugers~/.bashrc-fil, du kan gøre dette i den globale fil med kommandoen:
sudo nano /etc/bash.bashrc
i den fil skal du rulle ned til bunden og tilføje følgende linjer:
TMOUT=300readonly TMOUTexport TMOUT
tmout-indstillingen indstiller den tid (i sekunder), som en inaktiv forbindelse vil blive tilladt. En konfiguration af TMOUT=300 vil bryde tomgangsforbindelser efter fem minutter.
Sådan testes konfigurationen
nu hvor du har konfigureret timeoutintervallet, skal du åbne et nyt terminalvindue, oprette forbindelse til en af dine eksterne servere via SSH, gør ikke noget ved terminalen. Du skal blive sparket ud af sessionen, så snart den tildelte inaktive tid går.
og det er alt, hvad der er at afbryde SSH-sessioner efter en periode med inaktivitet. Gør dette for at forhindre nogen i at kunne trække forskellige og forskellige shenanigans ud, efter at du (eller nogen) har forladt deres skriveborde med en SSH-forbindelse i gang.
Se også
-
Sådan bliver du netværksadministrator: et snydeark (TechRepublic)
-
Sådan bliver du en cybersecurity pro: Et snydeark (TechRepublic)
-
Mastermind con man behind Catch Me If you Can talks cybersecurity (TechRepublic Hent)
-
Online security 101: Tips til beskyttelse af dit privatliv mod hackere og spioner
-
alle VPN-vilkår, du har brug for at vide (CNET)
-
cyberkrig og cyberkrig: mere must-read dækning (TechRepublic på Flipboard)