Ich habe einen NRPE-Daemon-Prozess unter xinetd auf der amazon ec2-Instanz und dem nagios-Server auf meinem lokalen Rechner ausgeführt.
Der check_nrpe -H [amazon public IP] gibt diesen Fehler:
Beide Nrpe sind die gleichen Versionen. Beide sind mit dieser Option kompiliert:
%Vor%"erlaubter Host" -Eintrag enthält meine lokale IP-Adresse.
Was könnte der mögliche Grund dieses Fehlers jetzt sein?
Um zu überprüfen, ob Sie Zugriff darauf haben, versuchen Sie ein einfaches Telnet an der Adresse: Port, Ping oder Traceroute, um zu sehen, wo es blockiert.
%Vor%Überprüfen Sie auch auf dem Zielserver, dass der nrpe-Daemon ordnungsgemäß funktioniert.
%Vor%Sie müssen auch die Versionen von OpenSSL überprüfen, die auf beiden Servern installiert sind, da ich gesehen habe, dass diese Unterbrechung gelegentlich mit dem SSL-Handshake überprüft wird!
Wenn Sie nrpe als Dienst ausführen, stellen Sie sicher, dass Sie diese Zeile in Ihrer nrpe.cfg auf der Clientseite haben:
%Vor% Sie sagen, das ist aber getan, wenn Sie nrpe unter xinetd ausführen, achten Sie darauf, die only_from -Direktive in der Datei /etc/xinetd.d/nrpe zu bearbeiten.
Vergessen Sie nicht, den xinetd-Dienst neu zu starten:
%Vor%Das ist eine ziemlich allgemeine Fehlermeldung für NRPE. Überprüfen Sie Ihre Firewall-Regeln und stellen Sie sicher, dass der Port offen ist. Versuchen Sie auch SELinux zu deaktivieren und zu sehen, ob das die Verbindung durchlässt. Es ist wahrscheinlich kein SSL-Problem, sondern nur ein Problem mit der Ablehnung der Verbindung.
@jgritty hatte Recht.
Sie sollten die Dateien nrpe.cfg und nrpe config bearbeiten, um den Zugriff Ihres Master-Nagios-Servers zu ermöglichen:
und
%Vor%Stellen Sie sicher, dass Sie auch das Nagios Client Plugin neu gestartet haben.
Ich verwende nrpe mit dem xinetd-Dienst.
Vergewissern Sie sich (zusätzlich zu den obigen grundlegenden Schritten), dass Ihr Nagios-Benutzer sich ordnungsgemäß authentifiziert. In meinem Fall:
%Vor% Wurde in den Nachrichten / var / log angezeigt.
Es ist mir zuerst entgangen, aber dann habe ich den Dienst von ypbind überprüft und festgestellt, dass er nicht gestartet wurde.
Nach dem Start von ypbind, nagios Benutzer und Gruppe wurde richtig authentifiziert, der Fehler ging weg.
SSL-Handshake-Fehler msg.Besondern Sie den allow_host, den Sie zuweisen sollten.
Ihr Nagios-Server befindet sich in einem lokalen LAN mit der IP-Adresse des C-Typs, z. B. 192.168.xxxx
Wenn der Ziel überwachte Server die SSL-Nachricht an Ihren lokalen Nagios-Server zurücksendet, sollte die Nachricht zuerst an Ihre öffentliche IP Ihrer Leitung kommen, die Nachricht kann nicht über die öffentliche IP in Ihren Nagios-Server, die IP ist eine interne / p>
Sie benötigen NAT, um die SSL-Nachricht vom Zielserver zum internen Nagios-Server zu leiten.
Oder Sie verwenden besser die "GET" -Methode, die nur Überwachungsnachrichten von der Nagios-Client-Seite erhält, wie z. B. SNMP, um den Remote-Monitor der lokalen Ressource von Linux-Servern zu erfüllen.
SSL benötigt Feedback in doppelter Richtung.
Beste Grüße
Ich habe Folgendes in /etc/nagios/nrpe.cfg am Client eingestellt:
%Vor%Es ist und Ubuntu 16.04 Maschine. Für andere mögliche Probleme empfehle ich, nrpe Protokolle zu betrachten. Hier ist ein guter Artikel zum Konfigurieren von Protokollen.
Wenn Sie Debian 9 ausführen, gibt es ein bekanntes Problem in Bezug auf dieses Problem, verursacht durch OpenSSL Drop-Support für die Methode, die NRPE verwendet, um anonyme SSL-Verbindungen zu initiieren.
Das Problem scheint behoben zu sein , aber das Update hat es nicht in den offiziellen Bereich geschafft Pakete, noch.
Gegenwärtig scheint es keine sichere Arbeitsumgebung zu geben.