Centro de Conocimiento DevOps
Centro de Conocimiento DevOps

Mejores prácticas para prevenir problemas de tiempo de espera en SSH

Evite las frustrantes desconexiones de SSH implementando configuraciones robustas de "keep-alive". Esta guía esencial detalla la diferencia entre las configuraciones del lado del cliente (`ServerAliveInterval`) y del lado del servidor (`ClientAliveInterval`), proporcionando instrucciones paso a paso para ajustar su archivo `~/.ssh/config`. Aprenda a utilizar valores prácticos para eludir los tiempos de espera agresivos de firewalls y NAT, asegurando una conectividad estable y persistente incluso en redes inestables. También incluye recomendaciones para utilizar multiplexores como `tmux` para una máxima resiliencia de la sesión.

36 vistas

Mejores Prácticas para Prevenir Problemas de Tiempo de Espera de SSH

SSH (Secure Shell) es la columna vertebral de la administración remota de sistemas, ofreciendo conectividad cifrada y segura. Sin embargo, pocas cosas son tan frustrantes como una sesión que se interrumpe inesperadamente debido a un tiempo de espera agotado. Estos problemas son especialmente frecuentes en redes inestables, conexiones enrutadas a través de dispositivos NAT agresivos, o cuando las sesiones permanecen inactivas durante un período.

Esta guía explora los ajustes de configuración esenciales —tanto en el cliente como en el servidor— que los administradores de sistemas y desarrolladores pueden implementar para mantener proactivamente sesiones SSH estables. Al aprovechar los mecanismos de mantenimiento de conexión (keep-alive) incorporados, puede asegurarse de que sus tareas críticas no se interrumpan, incluso durante períodos de incertidumbre o inactividad de la red.

Comprendiendo la Causa Raíz de los Tiempos de Espera de SSH

Un tiempo de espera de SSH ocurre cuando el enlace de comunicación entre el cliente y el servidor se interrumpe porque ninguna de las partes ha detectado actividad durante un período específico. Esto no suele ser un problema del propio software SSH, sino más bien de los dispositivos de red intermedios (cortafuegos, enrutadores y tablas NAT) que eliminan agresivamente las conexiones inactivas para conservar recursos.

Cuando un cortafuegos no ha visto tráfico en una conexión TCP específica durante unos minutos, asume que la sesión está muerta y abandona el estado de la conexión. La próxima vez que el cliente SSH intenta enviar datos, el servidor nunca los recibe, lo que lleva a un congelamiento de la sesión y un eventual error de tiempo de espera.

La solución es configurar SSH para que envíe señales de mantenimiento de conexión (paquetes pequeños, sin datos) regularmente, asegurando que los dispositivos intermedios reconozcan la conexión como activa.

1. Soluciones del Lado del Cliente: El ServerAliveInterval

La solución más común y sencilla para prevenir tiempos de espera es configurar el cliente SSH para que envíe periódicamente un mensaje de mantenimiento de conexión al servidor. Esto se controla mediante la directiva ServerAliveInterval.

Cómo Funciona ServerAliveInterval

ServerAliveInterval especifica el tiempo en segundos después del cual el cliente enviará un paquete nulo al servidor si no se han recibido datos del servidor. Este valor asegura que el lado del cliente mantenga el estado de la conexión.

Configuración mediante ~/.ssh/config

Este método es recomendado ya que le permite establecer la configuración de forma global o por host, persistiendo a través de reinicios y diferentes sesiones de terminal.

Cree o modifique su archivo de configuración de cliente, típicamente ubicado en ~/.ssh/config:

nano ~/.ssh/config

Para aplicar la configuración globalmente (a todos los hosts):

Host *
    ServerAliveInterval 60
    ServerAliveCountMax 3

Explicación de los Valores:

  • ServerAliveInterval 60: El cliente enviará un paquete de mantenimiento de conexión cada 60 segundos si la conexión está inactiva.
  • ServerAliveCountMax 3: Si el cliente envía 3 mensajes de mantenimiento de conexión consecutivos sin recibir una respuesta del servidor, el cliente terminará la conexión. (Duración total del tiempo de espera: 60 segundos * 3 intentos = 180 segundos).

Configuración mediante Línea de Comandos

Si necesita una solución temporal o prefiere aplicar la configuración solo para una única sesión, use la opción -o durante la conexión:

ssh -o "ServerAliveInterval 60" user@remote_host

Consejo: Un valor de 30 a 60 segundos suele ser ideal, ya que es lo suficientemente frecuente como para eludir la mayoría de las reglas de los cortafuegos (a menudo configuradas alrededor de 5 minutos) pero no tan frecuente como para generar una sobrecarga de red excesiva.

2. Soluciones del Lado del Servidor: Imponiendo el Mantenimiento de Conexión

Aunque la solución del lado del cliente (ServerAliveInterval) suele ser suficiente, los administradores que gestionan servidores a los que acceden muchos usuarios pueden desear imponer configuraciones de mantenimiento de conexión de forma centralizada o establecer límites estrictos para las conexiones inactivas. Esto se realiza en el archivo de configuración del demonio SSH, /etc/ssh/sshd_config.

Usando ClientAliveInterval y ClientAliveCountMax

Estas directivas son las contrapartes del lado del servidor de las configuraciones del cliente. Indican al servidor que compruebe si el cliente sigue conectado.

  1. Abra el archivo de configuración del demonio SSH:

    bash sudo nano /etc/ssh/sshd_config

  2. Agregue o modifique las siguientes líneas:

    ```config

    El servidor enviará un paquete nulo si no se reciben datos del cliente durante 300 segundos (5 minutos)

    ClientAliveInterval 300

    Si ClientAliveInterval se activa 0 veces sin respuesta, desconectar.

    Establecer esto en 0 significa que el servidor se desconecta inmediatamente después de la primera comprobación fallida.

    ClientAliveCountMax 0
    ```

Nota sobre ClientAliveCountMax:

Si establece ClientAliveCountMax en un número bajo (como 0 o 1), el servidor impondrá un tiempo de espera de inactividad estricto. Por ejemplo, ClientAliveInterval 300 y ClientAliveCountMax 0 significa que si un usuario está completamente inactivo durante 5 minutos, el servidor asumirá que la conexión está muerta y forzará una desconexión. Esto es útil para la seguridad, pero puede ser frustrante para los usuarios. Si su objetivo es prevenir que los cortafuegos cierren la conexión, establecer un valor aquí suele ser secundario al ServerAliveInterval del lado del cliente.

  1. Reinicie el servicio SSH para que los cambios surtan efecto:

    ```bash
    sudo systemctl restart sshd

    o

    sudo service sshd restart
    ```

3. Estrategias Avanzadas de Resiliencia

Aunque los mecanismos de mantenimiento de conexión de SSH gestionan períodos cortos de inactividad, una interrupción completa de la red (por ejemplo, cambiar de red Wi-Fi o perder momentáneamente la señal) seguirá interrumpiendo la conexión TCP. Para una verdadera resiliencia, utilice herramientas de gestión de sesiones.

Utilice Multiplexores de Terminal (tmux o screen)

Los multiplexores de terminal son la defensa definitiva contra las caídas de conexión. Ejecutan una sesión en el servidor remoto que persiste incluso si su conexión de cliente se interrumpe. Puede desvincularse de la sesión, volver a conectarse más tarde (desde el mismo cliente o uno diferente) y volver a vincularse para reanudar exactamente donde lo dejó.

Flujo de Trabajo Básico de tmux:

  1. Conéctese al servidor:
    bash ssh user@remote_host
  2. Inicie una nueva sesión tmux en el servidor:
    bash tmux new -s my_session
  3. Trabaje dentro de la sesión tmux.
  4. Si la conexión se cae, o necesita irse, desvincule la sesión (Ctrl+B, luego D).
  5. Vuelva a conectarse al servidor vía SSH.
  6. Vuelva a vincularse a su sesión existente:
    bash tmux attach -t my_session

Distinguiendo los Mecanismos de Mantenimiento de Conexión de SSH de los de TCP

Es posible utilizar el mecanismo TCP Keep-Alive del sistema operativo subyacente, a menudo configurado mediante la directiva TCPKeepAlive yes en sshd_config. Sin embargo, los mecanismos de mantenimiento de conexión a nivel de SSH (ServerAliveInterval) son generalmente preferidos porque:

  1. Portabilidad: Las directivas SSH funcionan de manera consistente independientemente del ajuste del kernel del sistema operativo subyacente.
  2. Capa de Aplicación: Los mecanismos de mantenimiento de conexión de SSH operan dentro de la capa de aplicación, asegurando que el demonio SSH permanezca receptivo.
  3. Conciencia de Cortafuegos: Los mecanismos TCP keep-alive a veces pueden ser bloqueados silenciosamente por cortafuegos o dispositivos NAT que solo verifican la actividad de la carga útil, mientras que los mecanismos de mantenimiento de conexión de SSH están específicamente diseñados para atravesar estas capas con éxito.

Si elige usar TCPKeepAlive yes, recuerde que el tiempo real del intervalo es controlado por el sistema operativo (por ejemplo, net.ipv4.tcp_keepalive_time de Linux), no por la configuración de SSH.

Resumen de Mejores Prácticas

Problema Directiva de Configuración Ubicación Valor Recomendado Propósito
Tiempos de espera del cliente ServerAliveInterval ~/.ssh/config (Cliente) 30 - 60 segundos Envía paquetes nulos del cliente al servidor para evitar que el cortafuegos cierre la conexión.
Umbral de desconexión del cliente ServerAliveCountMax ~/.ssh/config (Cliente) 3 - 5 Número de respuestas perdidas antes de que el cliente se desconecte.
Imposición de inactividad del servidor ClientAliveInterval /etc/ssh/sshd_config (Servidor) 300 segundos (5 min) Envía comprobaciones del servidor al cliente para monitorear la actividad.
Resiliencia de la conexión N/A Sesión del servidor tmux o screen Permite la persistencia de la sesión a pesar de fallos de red.

Al implementar la directiva ServerAliveInterval en sus máquinas cliente, abordará la gran mayoría de los problemas de tiempo de espera de SSH causados por la inactividad de la red. Para tareas de misión crítica, combinar esta configuración con un multiplexor de sesión proporciona una inmunidad casi completa contra las interrupciones de conexión.