Проверка NRPE: ошибка-не удалось завершить SSL-рукопожатие

Question

Проверка NRPE: ошибка-не удалось завершить SSL-рукопожатие

у меня есть процесс демона NRPE, работающий под xinetd на экземпляре amazon ec2 и сервере nagios на моей локальной машине.

на check_nrpe -H [amazon public IP] выдает ошибку:

CHECK_NRPE: Error - Could not complete SSL handshake.

оба Nrpe являются одинаковыми версиями. Оба скомпилированы с этой опцией:

./configure  --with-ssl=/usr/bin/openssl --with-ssl-lib=/usr/lib/i386-linux-gnu/

запись"разрешенный хост" содержит мой локальный IP-адрес.

какова может быть возможная причина этой ошибки сейчас??

8

linux nagios nagiosxi nrpe ssl

автор: Harikrishnan

12 ответов

автор: drewboswell · Accepted Answer · 2014-01-07 20:43:40

чтобы проверить, есть ли у вас доступ к нему вообще, попробуйте простой telnet по адресу:порт, ping или traceroute, чтобы увидеть, где он блокируется.

telnet IP port
ping IP
traceroute -p $port IP

также проверьте на целевом сервере, что демон nrpe работает правильно.

netstat -at | grep nrpe

вам также нужно проверить версии OpenSSL, установленные на обоих серверах, так как я видел, что этот перерыв проверяет время от времени с SSL-рукопожатием!

автор: jgritty · Accepted Answer · 2016-09-02 19:07:13

если вы используете nrpe в качестве службы, убедитесь, что у вас есть эта строка в вашем nrpe.cfg на стороне клиента:

# example 192. IP, yours will probably differ
allowed_hosts=127.0.0.1,192.168.1.100

вы говорите, что это сделано, однако, если вы используете nrpe под xinetd, обязательно отредактируйте

автор: Michael Guthrie · Accepted Answer · 2013-12-13 14:12:08

Это несколько сообщение об ошибке catch-all для NRPE. Проверь правила брандмауэра и убедитесь, что порт открыт. Также попробуйте отключить SELinux и посмотреть, позволяет ли это соединение. Скорее всего, это не проблема SSL, а просто проблема с отказом в подключении.

автор: Özgür · Accepted Answer · 2014-11-09 09:24:42

проверьте /var/sys/system.log . В моем случае оказалось, что мой отслеживаемый IP был установлен на что-то другое, чем тот, который я установил в nrpe.файл cfg. Но я не знаю причины этих перемен.

автор: NOZUONOHIGH · Accepted Answer · 2016-02-19 11:08:34

@jgritty был прав. вы должны редактировать nrpe.cfg и nrpe конфигурационные файлы, чтобы разрешить доступ вашего главного сервера nagios:

vim /usr/local/nagios/etc/nrpe.cf
allowed_hosts=127.0.0.1,172.16.16.150

и

vim /etc/xinetd.d/nrpe
only_from= 127.0.0.1 172.16.16.150

автор: em110905 · Accepted Answer · 2016-03-14 20:17:36

похоже, что вы используете сервер Nagios на виртуальной машине в сети только для хоста. Если это так, это остановит любой внешний доступ. Убедитесь, что у вас есть NAT или Мостовая сеть.

автор: user2315218 · Accepted Answer · 2016-04-15 18:13:49

убедитесь, что вы также перезапустили клиентский плагин Nagios.

автор: Gene Brotherton · Accepted Answer · 2016-06-07 00:41:54

Я запускаю nrpe, используя службу xinetd.

убедитесь также (В дополнение к вышеуказанным основным шагам), что ваш пользователь nagios аутентифицируется должным образом. В моем случае:

Jun  6 15:05:52 gse2 xinetd[33237]: **Unknown user: nagios**<br>[file=/etc/xinetd.d/nrpe] [line=9]
Jun  6 15:05:52 gse2 xinetd[33237]: Error parsing attribute user - DISABLING
SERVICE [file=/etc/xinetd.d/nrpe] [line=9]
Jun  6 15:05:52 gse2 xinetd[33237]: **Unknown group: nagios**<br>[file=/etc/xinetd.d/nrpe] [line=10]
Jun  6 15:05:52 gse2 xinetd[33237]: Error parsing attribute group - DISABLING
SERVICE [file=/etc/xinetd.d/nrpe] [line=10]
Jun  6 15:05:52 gse2 xinetd[33237]: Service nrpe missing attribute user - DISABLING

отображается в сообщениях /var/log.
Сначала это ускользнуло от меня, но затем я проверил службу ypbind и обнаружил, что она не запущена.
После запуска ypbind пользователь и группа nagios правильно аутентифицировались, ошибка исчезла.

автор: SielaQ · Accepted Answer · 2016-07-09 16:19:19

перезапуск некоторых крайних случаев nagios-nrpe-server не помогает, из-за того, что процесс не был убит или не был надлежащим образом перезапущен.

просто убейте его вручную и запустите.

автор: Ricky · Accepted Answer · 2016-09-28 03:54:30

ошибка рукопожатия SSL msg.Рядом с allow_host вы должны назначить.

ваш сервер nagios находится в локальной сети с ip-адресом типа C, таким как 192.168.xxxx

когда целевой отслеживаемый сервер отзывает ssl msg на ваш локальный сервер nagios, сообщение должно сначала прийти на ваш общедоступный IP вашей линии, сообщение не может через общедоступный IP на ваш сервер nagios, ip которого является внутренним.

вам нужен NAT для руководства сообщением SSL от цели сервер на внутренний сервер nagios.

или вам лучше использовать метод "GET", который просто получает сообщение монитора со стороны клиента nagios, например SNMP, для выполнения удаленного монитора локального ресурса серверов linux.

SSL нужна обратная связь в двойном направлении.

С Наилучшими Пожеланиями

автор: Mayank Jaiswal · Accepted Answer · 2017-03-08 06:37:06

для меня установка следующего в /etc/nagios / nrpe.cfg на клиенте работал:

dont_blame_nrpe=1

это и ubuntu 16.04 машина. Для других возможных проблем я рекомендую посмотреть журналы nrpe. Вот хорошая статья для настройки журналов.

автор: Florian Brucker · Accepted Answer · 2017-06-28 15:26:30

Если вы используете Debian 9, то есть известная проблема в отношении этой проблемы, вызванной OpenSSL отбрасывая поддержку метода NRPE использует для инициирования анонимных SSL-соединений.

вопрос кажется, исправлено но исправление еще не попало в официальные пакеты.

В настоящее время, похоже, нет безопасной работы.