Centro di Conoscenza DevOps
Centro di Conoscenza DevOps

Migliori pratiche per prevenire problemi di timeout SSH

Interrompi le frustranti disconnessioni SSH implementando robuste configurazioni di keep-alive. Questa guida essenziale illustra la differenza tra le configurazioni lato client (`ServerAliveInterval`) e lato server (`ClientAliveInterval`), fornendo istruzioni passo passo per modificare il tuo file `~/.ssh/config`. Scopri come utilizzare valori pratici per aggirare timeout aggressivi di firewall e NAT, garantendo una connettività stabile e persistente anche su reti instabili. Include anche raccomandazioni per l'utilizzo di multiplexer come `tmux` per la massima resilienza della sessione.

38 visualizzazioni

Le migliori pratiche per prevenire problemi di timeout SSH

SSH (Secure Shell) è la spina dorsale dell'amministrazione remota dei sistemi, offrendo connettività crittografata e sicura. Tuttavia, poche cose sono frustranti quanto una sessione che si interrompe inaspettatamente a causa di un timeout. Questi problemi sono particolarmente diffusi su reti instabili, connessioni instradate attraverso dispositivi NAT aggressivi o quando le sessioni rimangono inattive per un certo periodo.

Questa guida esplora le regolazioni essenziali della configurazione, sia lato client che lato server, che gli amministratori di sistema e gli sviluppatori possono implementare per mantenere proattivamente sessioni SSH stabili. Sfruttando i meccanismi di keep-alive integrati, è possibile assicurarsi che le attività critiche non vengano interrotte, anche durante periodi di incertezza della rete o inattività.

Comprendere la causa principale dei timeout SSH

Un timeout SSH si verifica quando il collegamento di comunicazione tra il client e il server viene interrotto perché nessuna delle due parti ha rilevato attività per una durata specifica. Questo non è solitamente un problema del software SSH stesso, ma piuttosto di dispositivi di rete intermedi (firewall, router e tabelle NAT) che eliminano aggressivamente le connessioni inattive per conservare le risorse.

Quando un firewall non ha rilevato traffico su una specifica connessione TCP per alcuni minuti, assume che la sessione sia morta e interrompe lo stato della connessione. La volta successiva che il client SSH tenta di inviare dati, il server non li riceve mai, portando a un blocco della sessione e a un eventuale errore di timeout.

La soluzione consiste nel configurare SSH per inviare regolarmente segnali keep-alive (piccoli pacchetti senza dati), assicurando che i dispositivi intermedi riconoscano la connessione come attiva.

1. Soluzioni lato client: ServerAliveInterval

La soluzione più comune e più semplice per prevenire i timeout è configurare il client SSH per inviare periodicamente un messaggio keep-alive al server. Questo è controllato dalla direttiva ServerAliveInterval.

Come funziona ServerAliveInterval

ServerAliveInterval specifica il tempo in secondi dopo il quale il client invierà un pacchetto nullo al server se non ha ricevuto dati dal server. Questo valore assicura che il lato client mantenga lo stato della connessione.

Configurazione tramite ~/.ssh/config

Questo metodo è consigliato in quanto consente di impostare la configurazione globalmente o per host, persistendo attraverso i riavvii e diverse sessioni di terminale.

Crea o modifica il tuo file di configurazione client, tipicamente situato in ~/.ssh/config:

nano ~/.ssh/config

Per applicare l'impostazione globalmente (a tutti gli host):

Host *
    ServerAliveInterval 60
    ServerAliveCountMax 3

Spiegazione dei valori:

  • ServerAliveInterval 60: Il client invierà un pacchetto keep-alive ogni 60 secondi se la connessione è inattiva.
  • ServerAliveCountMax 3: Se il client invia 3 messaggi keep-alive consecutivi senza ricevere una risposta dal server, il client terminerà la connessione. (Durata totale del timeout: 60 secondi * 3 tentativi = 180 secondi).

Configurazione tramite riga di comando

Se hai bisogno di una soluzione temporanea o preferisci applicare l'impostazione solo per una singola sessione, usa l'opzione -o durante la connessione:

ssh -o "ServerAliveInterval 60" user@remote_host

Suggerimento: Un valore da 30 a 60 secondi è solitamente ideale, in quanto è abbastanza frequente da aggirare la maggior parte delle regole dei firewall (spesso impostate intorno ai 5 minuti) ma non così frequente da generare un eccessivo overhead di rete.

2. Soluzioni lato server: imposizione dei Keep-Alives

Mentre la soluzione lato client (ServerAliveInterval) è tipicamente sufficiente, gli amministratori che gestiscono server acceduti da molti utenti potrebbero desiderare di imporre impostazioni keep-alive centralmente o di impostare limiti rigidi sulle connessioni inattive. Questo viene fatto nel file di configurazione del demone SSH, /etc/ssh/sshd_config.

Utilizzo di ClientAliveInterval e ClientAliveCountMax

Queste direttive sono le controparti lato server delle impostazioni client. Istruiscono il server a verificare se il client è ancora connesso.

  1. Apri il file di configurazione del demone SSH:

    bash sudo nano /etc/ssh/sshd_config

  2. Aggiungi o modifica le seguenti righe:

    ```config

    Il server invierà un pacchetto nullo se non riceve dati dal client per 300 secondi (5 minuti)

    ClientAliveInterval 300

    Se ClientAliveInterval viene attivato 0 volte senza risposta, disconnetti.

    Impostarlo a 0 significa che il server si disconnette immediatamente dopo il primo controllo fallito.

    ClientAliveCountMax 0
    ```

Nota su ClientAliveCountMax:

Se si imposta ClientAliveCountMax su un numero basso (come 0 o 1), il server imporrà un timeout di inattività rigoroso. Ad esempio, ClientAliveInterval 300 e ClientAliveCountMax 0 significa che se un utente è completamente inattivo per 5 minuti, il server assumerà che la connessione è morta e forzerà una disconnessione. Questo è utile per la sicurezza ma può essere frustrante per gli utenti. Se l'obiettivo è prevenire che i firewall interrompano la connessione, impostare un valore qui è spesso secondario rispetto a ServerAliveInterval lato client.

  1. Riavvia il servizio SSH affinché le modifiche abbiano effetto:

    ```bash
    sudo systemctl restart sshd

    o

    sudo service sshd restart
    ```

3. Strategie avanzate di resilienza

Mentre i keep-alive SSH gestiscono brevi periodi di inattività, un'interruzione completa della rete (ad esempio, cambiare reti Wi-Fi o perdere momentaneamente il segnale) interromperà comunque la connessione TCP. Per una vera resilienza, utilizza strumenti di gestione delle sessioni.

Utilizzare i multiplexer di terminale (tmux o screen)

I multiplexer di terminale sono la difesa definitiva contro le interruzioni di connessione. Essi eseguono una sessione sul server remoto che persiste anche se la connessione client viene interrotta. È possibile scollegarsi dalla sessione, riconnettersi in seguito (dallo stesso o da un diverso client) e ricollegarsi per riprendere esattamente da dove si era interrotto.

Flusso di lavoro base di tmux:

  1. Connettiti al server:
    bash ssh user@remote_host
  2. Avvia una nuova sessione tmux sul server:
    bash tmux new -s my_session
  3. Lavora all'interno della sessione tmux.
  4. Se la connessione si interrompe o devi allontanarti, scollega la sessione (Ctrl+B, poi D).
  5. Riconnettiti al server tramite SSH.
  6. Ricollegati alla sessione esistente:
    bash tmux attach -t my_session

Distinguere i Keep-Alive SSH dai Keep-Alive TCP

È possibile utilizzare il meccanismo TCP Keep-Alive del sistema operativo sottostante, spesso configurato tramite la direttiva TCPKeepAlive yes in sshd_config. Tuttavia, i keep-alive a livello SSH (ServerAliveInterval) sono generalmente preferiti perché:

  1. Portabilità: Le direttive SSH funzionano in modo coerente indipendentemente dalla sintonizzazione del kernel del sistema operativo sottostante.
  2. Livello applicativo: I keep-alive SSH operano all'interno del livello applicativo, garantendo che il demone SSH rimanga reattivo.
  3. Consapevolezza del firewall: I keep-alive TCP possono talvolta essere bloccati silenziosamente da firewall o dispositivi NAT che controllano solo l'attività del payload, mentre i keep-alive SSH sono specificamente progettati per attraversare con successo questi livelli.

Se scegli di utilizzare TCPKeepAlive yes, ricorda che i tempi effettivi dell'intervallo sono controllati dal sistema operativo (ad esempio, net.ipv4.tcp_keepalive_time di Linux), non dalla configurazione SSH.

Riepilogo delle migliori pratiche

Problema Direttiva di configurazione Posizione Valore consigliato Scopo
Timeout client ServerAliveInterval ~/.ssh/config (Client) 30 - 60 secondi Invia pacchetti nulli dal client al server per prevenire l'interruzione del firewall.
Soglia di disconnessione client ServerAliveCountMax ~/.ssh/config (Client) 3 - 5 Numero di risposte mancate prima che il client si disconnetta.
Imposizione inattività server ClientAliveInterval /etc/ssh/sshd_config (Server) 300 secondi (5 min) Invia controlli dal server al client per monitorare l'attività.
Resilienza connessione N/A Sessione server tmux o screen Consente la persistenza della sessione nonostante il guasto della rete.

Implementando la direttiva ServerAliveInterval sulle macchine client, si risolverà la stragrande maggioranza dei problemi di timeout SSH causati dall'inattività della rete. Per le attività mission-critical, sovrapporre questa configurazione con un multiplexer di sessione fornisce un'immunità quasi completa contro le interruzioni di connessione.