CHECK_NRPE: Ошибка — не удалось выполнить подтверждение SSL

Чтобы проверить, есть ли у вас доступ к нему, попробуйте выполнить простой telnet по адресу: порт, ping или traceroute, чтобы увидеть, где он блокируется.

telnet IP port
ping IP
traceroute -p $port IP

Также проверьте на целевом сервере правильность работы демона nrpe.

netstat -at | grep nrpe

Вам также необходимо проверить версии OpenSSL, установленные на обоих серверах, так как я видел, что иногда это прерывание проверяет рукопожатие SSL!

Если вы используете nrpe как службу, убедитесь, что в вашем nrpe.cfg на стороне клиента есть эта строка:

# example 192. IP, yours will probably differ
allowed_hosts=127.0.0.1,192.168.1.100 

Вы говорите, что это сделано, однако, если вы запускаете nrpe под управлением xinetd, обязательно отредактируйте директиву only_from в файле /etc/xinetd.d/nrpe.

Не забудьте перезапустить службу xinetd:

service xinetd restart

@jgritty был прав. вы должны отредактировать файлы конфигурации nrpe.cfg и nrpe, чтобы разрешить доступ к вашему главному серверу nagios:

vim /usr/local/nagios/etc/nrpe.cf
allowed_hosts=127.0.0.1,172.16.16.150

и

vim /etc/xinetd.d/nrpe
only_from= 127.0.0.1 172.16.16.150

Это своего рода универсальное сообщение об ошибке для NRPE. Проверьте правила брандмауэра и убедитесь, что порт открыт. Также попробуйте отключить SELinux и посмотреть, разрешает ли это соединение. Скорее всего, это не проблема с SSL, а просто проблема с отказом в соединении.

проверьте свой /var/sys/system.log . В моем случае оказалось, что мой отслеживаемый IP-адрес был установлен на что-то другое, чем тот, который я установил в файле nrpe.cfg. Однако я не знаю причины этого изменения.

Похоже, вы запускаете свой сервер Nagios на виртуальной машине в сети только для хоста. Если это так, это остановит любой внешний доступ. Убедитесь, что у вас есть NAT или мостовая сеть.

Так много ответов, ни один из них не соответствует причине, по которой я столкнулся с этой проблемой.

Оказывается, у nagios ужасная поддержка кросс-версий, и это было вызвано тем, что у меня был «клиент» версии 2 (контролируемая машина) и «сервер» версии 3 (машина мониторинга).

Как только я обновил клиент до версии 3, проблема исчезла, и я смог выполнить check_nrpe -H [client IP] без проблем.

Обратите внимание, что я не уверен, что клиент/сервер является правильным термином для nagios, так как в случае вызова NRPE сервер на самом деле является вызываемой машиной, но я отвлекся.

Убедитесь, что вы также перезапустили подключаемый модуль клиента Nagios.

Я запускаю nrpe с помощью службы xinetd.

Убедитесь также (в дополнение к вышеуказанным основным шагам), что ваш пользователь nagios правильно аутентифицируется. В моем случае:

Jun  6 15:05:52 gse2 xinetd[33237]: **Unknown user: nagios**<br>[file=/etc/xinetd.d/nrpe] [line=9]
Jun  6 15:05:52 gse2 xinetd[33237]: Error parsing attribute user - DISABLING
SERVICE [file=/etc/xinetd.d/nrpe] [line=9]
Jun  6 15:05:52 gse2 xinetd[33237]: **Unknown group: nagios**<br>[file=/etc/xinetd.d/nrpe] [line=10]
Jun  6 15:05:52 gse2 xinetd[33237]: Error parsing attribute group - DISABLING
SERVICE [file=/etc/xinetd.d/nrpe] [line=10]
Jun  6 15:05:52 gse2 xinetd[33237]: Service nrpe missing attribute user - DISABLING

Отображалось в сообщениях /var/log.
Сначала это ускользнуло от меня, но затем я проверил службу ypbind и обнаружил, что она не запущена.
После запуска ypbind пользователь и группа nagios прошли аутентификацию должным образом, ошибка ушла.

в некоторых крайних случаях перезапуск nagios-nrpe-server не помогает из-за того, что процесс не был убит или не был перезапущен должным образом.

тогда просто убей его вручную и запусти.

Сообщение об ошибке рукопожатия SSL. Помимо параметра allow_host, который вы должны назначить.

ваш сервер nagios находится в локальной сети с IP-адресом типа C, например 192.168.xxxx

когда целевой контролируемый сервер отправляет сообщение ssl на ваш локальный сервер nagios, сообщение должно сначала прийти на ваш общедоступный IP-адрес вашей линии, сообщение не может пройти через общедоступный IP-адрес на ваш сервер nagios, IP-адрес которого является внутренним.

вам нужен NAT для направления сообщения SSL с целевого сервера на внутренний сервер nagios.

Или вам лучше использовать метод «GET», который просто получает сообщение монитора со стороны клиента nagios, например SNMP, для выполнения удаленного мониторинга локального ресурса серверов Linux.

SSL нужна обратная связь в двойном направлении.

Наилучшие пожелания

Для меня сработало следующее в /etc/nagios/nrpe.cfg на клиенте:

dont_blame_nrpe=1

Это и машина Ubuntu 16.04. Для других возможных проблем я рекомендую посмотреть журналы nrpe. Вот хорошая статья по настройке логов.

Если вы используете Debian 9, то существует известная проблема, связанная с этой проблемой, вызванная OpenSSL отказывается от поддержки метода, который NRPE использует для инициирования анонимных SSL-соединений.

Проблема кажется исправленной, но исправление не помогло в официальные пакеты, пока.

В настоящее время, похоже, нет безопасного обходного пути.

проверьте конфигурацию в /etc/xinetd.d/nrpe и проверьте IP-адрес сервера. Если отображается only_from = 127.0.0.1, измените его на IP-адрес сервера.