Als u een Linux-beheerder bent, kent u de waarde van Secure Shell. Zonder deze tool, je zou hard worden ingedrukt om veel beheer op afstand gedaan op uw servers. In feite, je waarschijnlijk SSH in en uit machines de hele dag. Of, je kan SSH in een server en onbedoeld laat die verbinding gedurende de dag.
en dat, mijn vrienden, nodigt uit tot problemen.
Wat als je die verbinding draaiend laat en er iemand bij je bureau komt terwijl je weg bent. Dat iemand bij je server kan zitten. Dat wil je niet. Of wat als je andere gebruikers hebt die shell beveiligen op die servers, en je niet de hele dag over hun schouders kunt kijken?
Dit is niet iets wat je aan het toeval moet overlaten.
kunt u daar iets aan doen? Dat kun je zeker. Secure Shell bevat een timeout-functie waarmee u de SSH-server zodanig kunt configureren dat de verbinding met een gebruiker wordt verbroken na een bepaalde periode van inactiviteit.
laat me je laten zien hoe dit gedaan wordt.
zie: Windows 10 security: a guide for business leaders (TechRepublic Premium)
wat u nodig hebt
-
een Linux-server met SSH geïnstalleerd en correct uitgevoerd
-
een gebruiker met sudo-privileges
hoe configureer ik een Secure Shell voor timeouts op de server
Out of the box, de SSH daemon configuratie configureert niet de benodigde opties voor het inschakelen van inactieve time-outs. Dat is prima, want we kunnen ze gemakkelijk toevoegen. Er zijn echter twee soorten configuraties die we willen verzorgen. De eerste is om te voorkomen dat inactieve sessies verbonden blijven op het einde van de server.
om dit af te handelen, opent u het configuratiebestand op de server voor het bewerken met het commando:
sudo nano /etc/ssh/sshd_config
Scroll naar de onderkant van dat bestand en voeg de volgende drie regels toe:
TCPKeepAlive yesClientAliveInterval 30ClientAliveCountMax 2
De standaard ClientAliveInterval is in seconden. U kunt ook gebruik maken van:
ClientAliveInterval 5m
De truc zit echter in de ClientAliveCountMax optie. Dat informeert de SSH daemon hoe vaak het Time-out interval moet worden geteld. Dus als je ClientAlivecountMax op 2 zet, zou het twee keer de ClientAliveInterval tellen. Als u ClientAliveInterval instelt op 5m en de ClientAliveCountMax op 2, is de totale time-out 10 minuten.
u kunt de opties ook instellen op:
ClientAliveInterval 10mClientAliveCountMax 0
de bovenstaande configuratie zou ook na 10 minuten inactiviteit verlopen.
nadat u uw configuraties hebt gemaakt, herstart u de SSH-daemon met het commando:
sudo systemctl restart sshd
de bovenstaande configuratie zorgt voor alle inactieve sessies vanaf het einde van de server.
hoe configureer ik een Secure Shell voor client timeouts
nu gaan we de time-out instellen aan het einde van de client. U hoeft dit niet te doen omdat de serverinstelling voor inactieve time-outs moet zorgen. Maar, als je van de overdreven voorzichtige overtuiging bent, wil je misschien voorkomen dat een client verbonden blijft met een externe server, via SSH. Helaas kan dit niet globaal worden ingesteld op de server, maar moet dit worden afgehandeld op de individuele clients.
De configuratie wordt afgehandeld in de .bashrc dossier. Maar in plaats van te gaan door elke gebruiker~/.bashrc bestand, u kunt dit doen in het globale bestand met het commando:
sudo nano /etc/bash.bashrc
in dat bestand scroll naar beneden en voeg de volgende regels toe:
TMOUT=300readonly TMOUTexport TMOUT
De tmout optie stelt de hoeveelheid tijd (in seconden) in dat een niet-actieve verbinding wordt toegestaan. Een configuratie van tmout = 300 zal inactieve verbindingen na vijf minuten verbreken.
hoe de configuratie te testen
nu u het timeout-interval hebt geconfigureerd, opent u een nieuw terminalvenster, maakt verbinding met een van uw externe Linux-servers, via SSH, doe niets op de terminal. U moet uit de sessie worden geschopt zodra de toegewezen inactieve tijd voorbij is.
en dat is alles wat er is om SSH sessies te verbreken na een periode van inactiviteit. Doe dit om te voorkomen dat iemand in staat is om verschillende en diverse shenanigans uit te voeren nadat jij (of iemand) zijn bureau heeft verlaten met een SSH-verbinding in werking.
zie ook
-
Hoe word ik een netwerkbeheerder: een spiekbriefje (TechRepublic)
-
Hoe word ik een cybersecurity pro: Een cheat sheet (TechRepublic)
-
Mastermind con man achter Catch Me If You can talks cybersecurity (TechRepublic download)
-
Online security 101: Tips voor het beschermen van uw privacy van hackers en spionnen (ZDNet)
-
alle VPN-termen die u moet weten (CNET)
-
Cybersecurity en cyberwar: meer must-read coverage (TechRepublic op Flipboard)