O requisito 8.1.8 do PCI-DSS 3.0 declara: "Se uma sessão estiver inativa por mais de 15 minutos, exija que o usuário seja autenticado novamente para reativar o terminal ou sessão. "O mesmo ocorreu no requisito 8.5.15 do PCI-DSS 2.0.
A primeira e mais óbvia maneira de lidar com sessões ssh que estão inativas no prompt do bash é impingir uma% global% de 900% somente leitura. Infelizmente, isso cobre apenas as sessões sentadas no prompt do bash. O espírito da especificação PCI também exigiria sessões de matar executando top / vim / etc.
Eu considerei escrever uma tarefa cron * / 1 que analisa a saída de "/ usr / bin / w" e mata o shell associado, mas isso parece ser um instrumento contundente. Alguma idéia de algo que realmente faria o que a especificação exige e apenas bloqueia o terminal? Eu olhei para $TMOUT e away ; ambos parecem ótimos para bloquear voluntariamente o seu terminal, mas eu preciso de uma tarefa do cron / daemon que imponha o bloqueio.
Você poderia colocar "exec screen -R" em .bash_profile e "idle 900 lockscreen" em .screenrc para resolver isso? Isso seria automaticamente anexado à sua sessão de tela, se ainda estiver lá, e criar um novo caso não esteja, mas bloqueie a tela se estiver ocioso por 900 segundos.
Acredito que os usuários podem desativar a inatividade, embora ...
Como alternativa: simplesmente "exec screen" e também "autodetach off" em .screenrc para que suas sessões morram caso sejam desconectadas.
O seguinte, adicionado à sua configuração do sshd, simplesmente fechará a conexão SSH após 15 minutos de inatividade:
ClientAliveInterval 900
ClientAliveCountMax 0
A configuração IdleTimeout do sshd faz o que você quer? Eu não testei com usuários usando top, mas deve funcionar para o vim ou coisas que não estão enviando dados.
Sob BSD eu estou usando ocioso por Michael P. Crider
Citação da descrição
Idled is a daemon that runs on a machine to keep an eye on current users. If users have been idle for too long, or have been logged on for too long, or have logged in too many times, it will warn them and log them out appropriately.
Eu acho que você também pode encontrá-lo em repositórios linux.
A resposta certa aqui é
export TMOUT = 900
em .bash_profile
(invocar a tela não é uma maneira direta de lidar com esse problema)