Проверка NRPE: ошибка-не удалось завершить SSL-рукопожатие
у меня есть процесс демона NRPE, работающий под xinetd на экземпляре amazon ec2 и сервере nagios на моей локальной машине.
на check_nrpe -H [amazon public IP]
выдает ошибку:
CHECK_NRPE: Error - Could not complete SSL handshake.
оба Nrpe являются одинаковыми версиями. Оба скомпилированы с этой опцией:
./configure --with-ssl=/usr/bin/openssl --with-ssl-lib=/usr/lib/i386-linux-gnu/
запись"разрешенный хост" содержит мой локальный IP-адрес.
какова может быть возможная причина этой ошибки сейчас??
12 ответов
чтобы проверить, есть ли у вас доступ к нему вообще, попробуйте простой telnet по адресу:порт, ping или traceroute, чтобы увидеть, где он блокируется.
telnet IP port
ping IP
traceroute -p $port IP
также проверьте на целевом сервере, что демон nrpe работает правильно.
netstat -at | grep nrpe
вам также нужно проверить версии OpenSSL, установленные на обоих серверах, так как я видел, что этот перерыв проверяет время от времени с SSL-рукопожатием!
если вы используете nrpe в качестве службы, убедитесь, что у вас есть эта строка в вашем nrpe.cfg на стороне клиента:
# example 192. IP, yours will probably differ
allowed_hosts=127.0.0.1,192.168.1.100
вы говорите, что это сделано, однако, если вы используете nrpe под xinetd, обязательно отредактируйте
Это несколько сообщение об ошибке catch-all для NRPE. Проверь правила брандмауэра и убедитесь, что порт открыт. Также попробуйте отключить SELinux и посмотреть, позволяет ли это соединение. Скорее всего, это не проблема SSL, а просто проблема с отказом в подключении.
проверьте /var/sys/system.log
. В моем случае оказалось, что мой отслеживаемый IP был установлен на что-то другое, чем тот, который я установил в nrpe.файл cfg. Но я не знаю причины этих перемен.
@jgritty был прав.
вы должны редактировать nrpe.cfg
и nrpe
конфигурационные файлы, чтобы разрешить доступ вашего главного сервера nagios:
vim /usr/local/nagios/etc/nrpe.cf
allowed_hosts=127.0.0.1,172.16.16.150
и
vim /etc/xinetd.d/nrpe
only_from= 127.0.0.1 172.16.16.150
похоже, что вы используете сервер Nagios на виртуальной машине в сети только для хоста. Если это так, это остановит любой внешний доступ. Убедитесь, что у вас есть NAT или Мостовая сеть.
Я запускаю nrpe, используя службу xinetd.
убедитесь также (В дополнение к вышеуказанным основным шагам), что ваш пользователь nagios аутентифицируется должным образом. В моем случае:
Jun 6 15:05:52 gse2 xinetd[33237]: **Unknown user: nagios**<br>[file=/etc/xinetd.d/nrpe] [line=9]
Jun 6 15:05:52 gse2 xinetd[33237]: Error parsing attribute user - DISABLING
SERVICE [file=/etc/xinetd.d/nrpe] [line=9]
Jun 6 15:05:52 gse2 xinetd[33237]: **Unknown group: nagios**<br>[file=/etc/xinetd.d/nrpe] [line=10]
Jun 6 15:05:52 gse2 xinetd[33237]: Error parsing attribute group - DISABLING
SERVICE [file=/etc/xinetd.d/nrpe] [line=10]
Jun 6 15:05:52 gse2 xinetd[33237]: Service nrpe missing attribute user - DISABLING
отображается в сообщениях /var/log.
Сначала это ускользнуло от меня, но затем я проверил службу ypbind и обнаружил, что она не запущена.
После запуска ypbind пользователь и группа nagios правильно аутентифицировались, ошибка исчезла.
перезапуск некоторых крайних случаев nagios-nrpe-server
не помогает, из-за того, что процесс не был убит или не был надлежащим образом перезапущен.
просто убейте его вручную и запустите.
ошибка рукопожатия SSL msg.Рядом с allow_host вы должны назначить.
ваш сервер nagios находится в локальной сети с ip-адресом типа C, таким как 192.168.xxxx
когда целевой отслеживаемый сервер отзывает ssl msg на ваш локальный сервер nagios, сообщение должно сначала прийти на ваш общедоступный IP вашей линии, сообщение не может через общедоступный IP на ваш сервер nagios, ip которого является внутренним.
вам нужен NAT для руководства сообщением SSL от цели сервер на внутренний сервер nagios.
или вам лучше использовать метод "GET", который просто получает сообщение монитора со стороны клиента nagios, например SNMP, для выполнения удаленного монитора локального ресурса серверов linux.
SSL нужна обратная связь в двойном направлении.
С Наилучшими Пожеланиями
для меня установка следующего в /etc/nagios / nrpe.cfg на клиенте работал:
dont_blame_nrpe=1
это и ubuntu 16.04 машина. Для других возможных проблем я рекомендую посмотреть журналы nrpe. Вот хорошая статья для настройки журналов.
Если вы используете Debian 9, то есть известная проблема в отношении этой проблемы, вызванной OpenSSL отбрасывая поддержку метода NRPE использует для инициирования анонимных SSL-соединений.
вопрос кажется, исправлено но исправление еще не попало в официальные пакеты.
В настоящее время, похоже, нет безопасной работы.