CHECK_NRPE: Erreur - Impossible de terminer la négociation SSL
Le processus démon NRPE s'exécute sous xinetd sur l'instance Amazon ec2 et le serveur nagios sur ma machine locale.
Le check_nrpe -H [Amazon public IP]
donne cette erreur:
CHECK_NRPE: Error - Could not complete SSL handshake.
Les deux Nrpe sont les mêmes versions. Les deux sont compilés avec cette option:
./configure --with-ssl=/usr/bin/openssl --with-ssl-lib=/usr/lib/i386-linux-gnu/
L'entrée "hôte autorisé" contient mon adresse IP locale.
Quelle pourrait être la raison possible de cette erreur maintenant?
Pour vérifier si vous y avez accès, essayez un simple telnet sur l'adresse: port, un ping ou un traceroute pour voir où il se bloque.
telnet IP port
ping IP
traceroute -p $port IP
Vérifiez également sur le serveur cible que le démon nrpe fonctionne correctement.
netstat -at | grep nrpe
Vous devez également vérifier les versions d'OpenSSL installées sur les deux serveurs, car j'ai déjà vu cette interruption vérifier de temps en temps avec la négociation SSL!
Si vous utilisez nrpe en tant que service, assurez-vous que cette ligne figure dans votre fichier nrpe.cfg du côté client:
# example 192. IP, yours will probably differ
allowed_hosts=127.0.0.1,192.168.1.100
Vous dites que cela est fait, cependant, si vous exécutez nrpe sous xinetd, veillez à éditer la directive only_from
dans le fichier /etc/xinetd.d/nrpe
.
N'oubliez pas de redémarrer le service xinetd:
service xinetd restart
@jgritty avait raison . vous devriez éditer les fichiers de configuration nrpe.cfg
et nrpe
afin d'autoriser l'accès de votre serveur Nagios principal
vim /usr/local/nagios/etc/nrpe.cf
allowed_hosts=127.0.0.1,172.16.16.150
et
vim /etc/xinetd.d/nrpe
only_from= 127.0.0.1 172.16.16.150
C'est un peu un message d'erreur fourre-tout pour NRPE. Vérifiez les règles de votre pare-feu et assurez-vous que le port est ouvert. Essayez également de désactiver SELinux et de voir si cela permet la connexion. Ce n'est probablement pas un problème SSL, mais simplement un problème de refus de connexion.
vérifiez votre /var/sys/system.log
. Dans mon cas, il s'est avéré que mon IP surveillée était définie sur autre chose que celle définie dans le fichier nrpe.cfg. Je ne connais pas la cause de ce changement, cependant.
Il semble que vous exécutiez votre serveur Nagios sur une machine virtuelle sur un réseau exclusivement hôte. Si tel est le cas, cela empêcherait tout accès externe. Assurez-vous de disposer d'un NAT ou d'un réseau ponté.
certains cas Edge redémarrant nagios-nrpe-server
n'aident pas, car le processus n'a pas été tué ou n'a pas été redémarré correctement.
il suffit de le tuer manuellement, puis de commencer.
vérifiez la configuration dans /etc/xinetd.d/nrpe et vérifiez l'adresse IP du serveur. Si seul_from = 127.0.0.1 s'affiche, modifiez-le avec Server IP.
Assurez-vous également que vous avez redémarré le plug-in Nagios Client.
Pour moi, configurer les éléments suivants dans /etc/nagios/nrpe.cfg sur Client a fonctionné:
dont_blame_nrpe=1
C'est et ubuntu 16.04 machine . Pour les autres problèmes possibles, je vous recommande de regarder les journaux nrpe. Voici un bon article pour configurer les journaux.
Si vous exécutez Debian 9, il y a alors problème connu concernant ce problème, causé par la suppression par OpenSSL de la prise en charge de la méthode utilisée par NRPE pour établir des connexions SSL anonymes.
Le problème semble avoir été résolu mais le correctif n'a pas encore été intégré aux packages officiels.
Actuellement, il ne semble pas y avoir de solution de rechange sécurisée.
J'exécute nrpe en utilisant le service xinetd.
Assurez-vous également (en plus des étapes de base ci-dessus) que votre utilisateur nagios s’authentifie correctement. Dans mon cas:
Jun 6 15:05:52 gse2 xinetd[33237]: **Unknown user: nagios**<br>[file=/etc/xinetd.d/nrpe] [line=9]
Jun 6 15:05:52 gse2 xinetd[33237]: Error parsing attribute user - DISABLING
SERVICE [file=/etc/xinetd.d/nrpe] [line=9]
Jun 6 15:05:52 gse2 xinetd[33237]: **Unknown group: nagios**<br>[file=/etc/xinetd.d/nrpe] [line=10]
Jun 6 15:05:52 gse2 xinetd[33237]: Error parsing attribute group - DISABLING
SERVICE [file=/etc/xinetd.d/nrpe] [line=10]
Jun 6 15:05:52 gse2 xinetd[33237]: Service nrpe missing attribute user - DISABLING
A été affiché dans les messages/var/log.
Il m’a échappé au début, mais j’ai ensuite fait une vérification du service ypbind et j’ai découvert qu’il n’avait pas été démarré.
Après le démarrage de ypbind, l’utilisateur et le groupe nagios s’authentifiaient correctement, l’erreur a disparu.
Erreur de négociation SSL msg. À côté de allow_host, vous devez l'attribuer.
votre serveur nagios est dans un réseau local avec une adresse ip de type C telle que 192.168.xxxx
lorsque le serveur surveillé cible renvoie le message SSL à votre serveur Nagios local, le message doit d'abord parvenir à l'adresse IP publique de votre ligne.
vous avez besoin de NAT pour guider le message SSL du serveur cible au serveur nagios interne.
Sinon, vous feriez mieux d’utiliser la méthode "GET" qui consiste à obtenir un message de surveillance du côté client nagios, tel que SNMP, afin de remplir la surveillance distante des ressources locales des serveurs Linux.
SSL a besoin d'un retour d'informations dans les deux sens.
Meilleures salutations