在远程服务器管理和安全数据传输中,SSH(Secure Shell)是不可或缺的工具。然而,它的便利性和安全性有时会因常见的问题而受到损害:冻结 SSH 会话。
此外,session 的突然中断可能会导致工作丢失、项目延迟和无助感。但不用担心,因为解决方案就在眼前。这份综合指南[1]揭示了维持活跃且响应迅速的 SSH 连接的秘密,确保无缝体验,避免冻结问题。
因此,告别沮丧,迎接高效、不间断的 SSH 会话。但在我们继续之前,让我们回答一个重要的问题。
为什么 SSH 会关闭连接?
简而言之,这一切都归结于 TCP 超时。 TCP 超时是指 TCP 连接或网络操作在认为进程失败之前等待响应的持续时间。在 Linux 中,TCP 超时设置确定 TCP 连接或操作在假设数据包丢失或连接无响应之前应等待多长时间。这种机制对于确保网络通信的可靠和高效至关重要。在保持 SSH 连接处于活动状态的情况下,我们将在下面简要讨论三个关键系统参数。
-
tcp_keepalive_time:确定在空闲 TCP 连接上发送 TCP keepalive 探测之间的时间间隔。即使没有传输数据,Keepalive 探针也会检查远程对等点是否仍处于活动状态并有响应。 -
tcp_keepalive_probes:由 TCP 端点发送的小数据包,用于检查空闲连接中远程端点的运行状况和响应能力。它检测远程端点是否无法访问或连接是否由于网络问题而丢失。 -
tcp_keepalive_intvl:控制在空闲 TCP 连接上发送 keepalive 探测的时间间隔。
每个值以秒为单位,可以使用以下命令轻松检查。
cat /proc/sys/net/ipv4/tcp_keepalive_time
cat /proc/sys/net/ipv4/tcp_keepalive_probes
cat /proc/sys/net/ipv4/tcp_keepalive_intvl
这是什么意思呢? Keepalive 时间为 7200 秒,即 120 分钟(2 小时)。然而,这并不意味着您的 SSH 会话将保持活动状态 2 小时,因为以下两个参数至关重要。
系统默认设置以 75 秒的间隔发送 9 个探测,总共 675 秒,之后会话被视为失败并关闭。
换句话说,在超过 11 分钟后,您的 SSH 会话将因不活动而终止——即,如果您没有在终端中输入任何内容。
当然,您可以调整这些设置,但这不是正确的方法。 SSH 提供了保持会话活动的机制,我们将在下面向您展示。
如何保持 SSH 会话处于活动状态
保持 SSH 会话处于活动状态是一个涉及客户端和服务器端配置的过程。
Linux
在客户端,您的 Linux 桌面系统,在您的主目录中创建一个文件(如果尚不存在)“~/.ssh/config”。
touch ~/.ssh/config
但是,如果“~/.ssh”目录不存在,则必须创建它,然后设置适当的权限。
mkdir ~/.ssh
chmod 700 ~/.ssh
nano ~/.ssh/config
# 以下为写入内容
Host *
ServerAliveInterval 120
ServerAliveCountMax 30
每个选项的含义如下:
-
Host:指定的配置仅适用于“Host”关键字后面列出的主机。因为我们使用了通配符 (*),所以它们适用于所有主机。 -
ServerAliveInterval:设置一个超时间隔(以秒为单位),在此之后,如果没有从服务器收到数据,SSH 将通过加密通道发送消息来请求服务器响应。默认为0,表示这些消息不会发送到服务器。 -
ServerAliveCountMax:设置 SSH 在没有从服务器返回任何消息的情况下可以发送的服务器活动消息的数量。如果在发送服务器活动消息时达到此阈值,SSH 将与服务器断开连接,从而终止会话。默认值为 3。
也就是说,客户端每隔120秒(2分钟)就会向服务器发送一条keepalive消息,共发送30次。 120 * 30 = 3600 秒,即一小时。这是即使没有活动,我们的 SSH 会话也将保持活动状态的总时间。
Windows
为了保持 SSH 会话处于活动状态,使用 PuTTY 通过 SSH 进行远程访问的 Windows 用户必须将“连接”选项卡中的“保持活动间隔秒数”选项设置为大于零的值。
在下面的示例中,我们将此值设置为 60,这意味着 PuTTY 客户端每分钟都会向服务器发送一条 keepalive 消息,以保持 SSH 连接处于活动状态。
当然,不要忘记保存对 PuTTY 会话的更改(“类别”>“保存的会话”>“保存”)。
服务器端配置
更改服务器的超时选项会影响连接到服务器的所有客户端。您需要编辑“/etc/ssh/sshd_config”文件来执行此操作。
sudo nano /etc/ssh/sshd_config
然后设置以下三个选项:
TCPKeepAlive yes
ClientAliveInterval 120
ClientAliveCountMax 30
这三个选项的含义如下:
-
TCPKeepAlive:指定系统是否应向客户端发送 TCP keepalive 消息。 -
ClientAliveInterval:设置一个超时间隔(以秒为单位),在此之后,如果没有收到客户端的数据,SSH 服务器将通过加密通道发送消息以请求客户端的响应。默认为0,表示这些消息不会发送到客户端。 -
ClientAliveCountMax:设置在 SSH 服务器未收到客户端返回的任何消息的情况下可以发送的客户端活动消息的数量。如果在发送客户端活动消息时达到此阈值,SSH 服务器将断开客户端连接,从而终止会话。默认值为 3。
与上述客户端配置的情况一样,SSH 服务器将使连接保持一小时(120 * 30 = 3600 秒)。
最后,重新启动 SSH 服务器:
sudo systemctl restart ssh
总结
实现 SSH 超时和保持活动在增强安全性和确保可靠连接之间实现了微妙的平衡。
SSH 超时和保活的好处显而易见,它们可以自动终止空闲会话,从而降低未经授权的访问和潜在攻击的风险,从而对网络安全做出贡献。
另一方面,过分地应用超时和保活也会带来缺点。过于激进的设置可能会导致意外断开连接,从而降低工作效率并给用户带来挫败感。
因此,为了取得适当的平衡,管理员必须仔细考虑他们的网络基础设施和用户行为。这样做可以为远程通信创建一个安全高效的环境,从而提高用户满意度和数据保护。
Reference
Source: https://linuxiac.com/how-to-keep-ssh-session-alive/
本文由 mdnice 多平台发布
