Um nach einer bestimmten Zeit der Inaktivität einen automatisierten Logout zu erzwingen, kann der OpenSSH-Server die Erreichbarkeit des Clients überprüfen.
# file: /etc/ssh/sshd_config LoginGraceTime 60 ClientAliveInterval 600 # default: 0 ClientAliveCountMax 3 # default: 3 TCPKeepAlive no # default: yes (spoofable)
| Schalter | Bedeutung |
|---|---|
| `LoginGraceTime 60` | Zeit (in Sek.), um sich erfolgreich zu authentifizieren |
| `ClientAliveInterval 600` | Zeitintervall (in Sek.), in dem der Server die Anwesenheit des Clients prüft |
| `ClientAliveCountMax 3` | Anzahl der ausstehenden Antworten, bis die Verbindung zum Client gekappt wird |
Es sollte Nutzer*innen nicht gestattet sein, Tunnel oder Weiterleitungen zu nutzen.
Achtung: Die folgenden Optionen verhindern nicht, dass sich Nutzer*innen eigene Tunnel oder Forwarder installieren. Sie verhindern nur eine direkte Nutzung von SSH.
# file: /etc/ssh/sshd_config PermitTunnel no # default: no AllowTcpForwarding no # default: yes AllowStreamLocalForwarding no # default yes X11Forwarding no # default: no