Bonjour à tous,
Je n'écris pas pour demander de l'aide mais pour fournir une solution, que j'ai mis au final plusieurs mois avant de trouver (bon ok, je suis un junior )
Il y a environ un an, en installant nagios sur des nouveaux serveurs, je me suis retrouvé avec cette erreur sur tous les services passant par nrpe :
CHECK_NRPE: Error - Could not complete SSL handshake
En cherchant sur le net, j'avais trouvé ça (du site officiel de Nagios) :
Code :
- Description:
- When attempting to use the check_nrpe plugin, the following error message is printed:
- CHECK_NRPE: Error - Could not complete SSL handshake
- Solution:
- This error message could be due to several problems:
- 1. Different versions. Make sure you are using the same version of the check_nrpe plugin and the NRPE daemon. Newer versions of NRPE are
- usually not backward compatible with older versions.
- 2. SSL is disabled. Make sure both the NRPE daemon and the check_nrpe plugin were compiled with SSL support and that neither are being run
- without SSL support (using command line switches).
- 3. Incorrect file permissions. Make sure the NRPE config file (nrpe.cfg) is readable by the user (i.e. nagios) that executes the NRPE binary from
- inetd/xinetd.
- 4. Pseudo-random device files are not readable. Greg Haygood noted the following... "After wringing my hair out and digging around with truss,
- I figured out the problem on my Solaris 8 boxen. The files /devices/pseudo/random* (linked through /dev/*random, and provided by Sun patch
- 112438) were not readable by the nagios user I use to launch NRPE. Making the character devices world-readable solved it."
- 5. Unallowed address. If you're running the NRPE daemon under xinetd, make sure that you have a line in the xinetd config file that say
- "only_from = xxx.xxx.xxx.xxx", where xxx.xxx.xxx.xxx is the IP address that you're connected to the NRPE daemon from.
|
Les versions étaient bonnes, le SSL activé, les droits corrects et l'adresse autorisé dans la config xinetd...
Alors j'avais à l'époque jamais réussi, et j'ai finalement créé mes propres sondes qui n'utilisaient pas nrpe
Il y a 2 jours, alors que je travaillais à la sécurité d'un de mes serveurs, toutes les sondes (nrpe) de ce serveur ont commencé à gueuler :
CHECK_NRPE: Error - Could not complete SSL handshake
J'avais un peu modifié la conf de sshd, installé portsentry (contre le scan de port)... Je remet donc la conf de sshd comme avant, j'arrête le démon de portsentry, je relance nrpe_client après avoir vérifié la conf... Mais rien
Toujours :
CHECK_NRPE: Error - Could not complete SSL handshake
J'ai enfin trouvé aujourd'hui d'où ça venait !!!
En fait, c'est tout con
Portsentry active le Wrapper TCP lorsqu'on l'installe, et il fallait que j'ajoute dans /etc/hosts.allow l'ip de mon serveur nagios...
@ +