等保linux服务器设置,等保测评：Centos超时退出问题

一、说明

等保测评主机测评中需要查询主机的超时退出配置，具体在Centos中的话，主要有两种方式可以实现超时退出的功能。其实这方面的资料很多，但是仍然存在一些地方没有说清楚(sshd_config的一个参数)，所以本文的目的之一就是把那些问题说清楚。

注：我使用的是Centos6

另外本文也顺便说一说在linux系统中，查询配置的一个注意点。

二、设置TMOUT方式

这个是比较通用、简单的方式，通过设置TMOUT，就可以至少对本地tty登录和远程使用ssh登录的用户起作用，但应该对图形化界面无效，当然进入图形化界面你再打开终端，对于打开的终端也是起作用的。

2.1. 实现方式

在/etc/profile、~/.bashrc、~/.bash_profile等文件的最后加入export TMOUT=900语句即可(单位是秒)，然后想要不重新登录就起效就，还需要用source命令解析上述文件。

上述文件中，/etc/profile针对所有用户其效果，而~/.bashrc、~/.bash_profile则只对当前用户其效果，实际上从文件位置就能看出来。

2.2. 具体查询方式

从上面可以知道，理论上可以在好几个地方对TMOUT进行配置，不过一般应该是在/etc/profile这个文件中对所有用户进行设置，可能有极个别的会单独为每个用户配置超时时间。

所以直接查看/etc/profile文件内容，然后再用echo $TMOUT语句看看运行环境中的TMOUT变量到底是多少。

2.3. 配置查询的注意点

这里多说一点，在查配置时，对于linux系统最好是 配置文件 以及 实际情况 一块查。

为什么要一块查？

因为配置文件里写了不代表就起效了，比如/etc/profile修改后需要用source命令才能起效。另外，配置文件中的配置即使起效了，但未必就等同于现在实际执行的规则。

比如iptables的规则可以用命令动态修改，当然如果没有使用命令持久化(也就是将当前规则存入iptables的配置文件中)的话，重启iptables服务那些临时的规则就没了。

所以同样的，配置文件里啥都没写，不代表现在运行的环境中没有规则，比如iptables的规则可以用命令临时添加进来。

所以如果想在测评的时候更全面的了解情况，最好就是一块查。

三、修改sshd_config文件方式

一般来说，远程对linux服务器进行管理都是通过ssh协议，所以对sshd_config文件进行配置，也是一种方法，虽然只对通过ssh登录的所有用户有效。

记住修改完sshd_config文件后需要重启才能生效。

在sshd_config文件中有两个参数，分别是ClientAliveInterval和ClientAliveCountMax。

这里网上好像没说清楚，这里根据ClientAliveCountMax的取值是不是0，会有两种效果。

3.1. ClientAliveCountMax的值是0

这种情况下，就是我们想要的操作超时自动退出的效果，也就是当客户端多久没有操作，服务器端就直接断开ssh连接。

这个“多久”当然就是由ClientAliveInterval的值来决定，它的单位是秒。

比如ClientAliveInterval是600，ClientAliveCountMax是0，则代表着如果600秒内终端没有操作，则断开ssh连接。

3.2. ClientAliveCountMax的值大于0

这种情况下，和我们想要的效果有区别：

ClientAliveInterval：指定了服务器端向客户端请求消息的时间间隔，默认值是