systemadmin.es » Seguridad » Timeout de las sessiones ssh

Timeout de las sessiones ssh

Resulta común dejar algún proceso que tarda más de lo esperado a que complete y luego encontrarnos que el firewall corta la conexión por inactividad.

Eso, sea como sea, fastidia.

Mediante la opción ClientAliveInterval en el /etc/sshd_config del servidor se define el tiempo en que, si no se ha recibido nada desde el cliente, se manda un mensaje y se espera una respuesta del cliente. Por ejemplo:

ClientAliveInterval 240

Así, podemos ir rebajando el valor al tiempo que tiene definido el firewall para evitar que corte la conexión.

Evidentemente, como toda comodidad, entraña un riesgo de seguridad que se debe sopesar: Una sessión desatendida con ssh al root de una máquina es un caramelito para cualquier atacante que pueda acceder físicamente al terminal de origen.

Relacionados

4
Dentro de Seguridad November 19, 2008 Tags: sshd

Imprimir Imprimir

4 comments to “Timeout de las sessiones ssh”

  1. Gerard wrote:
    23. November 2008 at 3:38 pm :

    Hola,

    pero exactamente este caramelito cómo lo aprovecharías? Existe la posibilidad que el root de la máquina origen de la conexión se pudiese apoderar, de la sesión ssh abierta por otro usuario de la misma máquina que se ha olvidado de cerrarla?

    Gracias y sigan así!

  2. admin wrote:
    23. November 2008 at 9:16 pm :

    Hola,
    Me refiero al típico problema de comodidad-seguridad: Si dejamos una sessión abierta en un terminal de uso público (una biblioteca, el terminal de uso público del CPD…) puede ser que si alguien mal intencionado encuentre la sessión abierta pueda acceder a datos o realizar cualquier acción no deseada. Es por eso que en principio siempre se recomienda establezer el timeout de inactividad.

    Personalmente, me molesta encontrar sessiones cerradas por inactividad, es por eso que en redes privadas (internas) suelo quitar el timeout, ya que es un entorno muy restringido. Aún así, hay situaciones en que sólo es possible, por diversos motivos, connectar por redes públicas, por lo que creo que en ese caso el timeout es no solo deseable sinó un requisito.

    Este comentario me ha hecho escribir un post sobre una herramienta que puede resultar útil para situaciones en que no se desea quitar el timeout: screen

    http://systemadmin.es/2008/11/screen-gestion-de-sesiones-de-terminal

    Desde mi punto de vista resulta realmente útil

  3. Roco tedesco wrote:
    7. November 2011 at 3:24 pm :

    Hola,
    Acceso mi servidor vía local sin ningún problema con putty
    pero cuando lo acceso desde internet me da un timeout

    me gustaría se me pueden ayudar

    saludos
    roco

  4. skeksi wrote:
    23. May 2012 at 10:27 am :

    Otra opción es hacerlo desde el lado del cliente:

    /etc/ssh/ssh_config

    ServerAliveInterval 240

    Y así se envían los paquetitos keep-alive a cada server que te conectes desde dicho cliente.

    ciao

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>