Personnaliser les configurations SSHD pour les serveurs
Okta Privileged Access propose un modèle d'intégration système qui permet d'apporter diverses personnalisations aux configurations du système. L'une des options de personnalisation disponibles pour les administrateurs Okta Privileged Access est la possibilité d'utiliser la configuration SSHD pour modifier la manière dont leurs serveurs répondent aux clients qui initient des connexions.
L'agent Okta Privileged Access (sftd) ajoute seulement entre deux et quatre lignes, dont les commentaires, à votre fichier de configuration SSHD (/etc/ssh/sshd_config).
Vous trouverez ci-après des exemples illustrant comment les administrateurs Okta Privileged Access peuvent personnaliser leur fichier de configuration SSHD.
Empêcher les connexions interactives aux bastions
Pour vous assurer que la connexion interactive par les utilisateurs à vos bastions n'est pas autorisée, vous pouvez créer un bloc Match Group avec la valeur PermitTTY no pour appliquer cette restriction. Cette méthode vous permet de définir la restriction pour tous les utilisateurs d'un groupe spécifié.
Si vous êtes un administrateur Okta Privileged Access, ne vous ajoutez pas à ce groupe. Vous pouvez directement ajouter la configuration suivante à votre SSHD sans configurer le fichier YAML pour ce comportement :
Match Group asa_dev PermitTTY noBien que la désactivation des modes TTY soit une bonne pratique pour les déploiements de bastions, elle ne garantit pas que toutes les formes d'exécution à distance soient bloquées. Assurez-vous que vos bastions sont correctement configurés pour empêcher les accès indésirables.
Configurer l'expiration d'une session SSH
Pour configurer l'expiration d'une session SSH sur Linux, définissez une variable d'environnement TMOUT. Paramétrer la variable TMOUT vous permet de déconnecter automatiquement les utilisateurs après une période d'inactivité définie. Voici un exemple de variable TMOUT définie :
TMOUT=300 readonly TMOUT export TMOUTCette définition est en lecture seule pour empêcher les utilisateurs de changer la valeur.