[Comm] NRPE

[Comm] NRPE

[Terechkov Evgenii]

Кто-нибудь использует Nagios-NRPE из Мастера 2.4 через xinetd ? Странная
проблемка возникла. При миграций сервера с суси на мастер установил

nagios-plugins-1.3.1-alt5.1
nagios-plugins-local-1.3.1-alt5.1
nagios-nrpe-2.0-alt1.1

Содержимое /e/xinet.d/nagios-nrpe написал, глядя на старый конфиг. Вот оно:

service nagios-nrpe
{
        flags                   = REUSE
        type                    = UNLISTED
        port                    = 9991
        socket_type             = stream
        wait                    = no
        user                    = nobody
        group                   = nobody
        server                  = /usr/sbin/nrpe
        server_args             = -c /etc/nagios/nrpe.cfg --inetd
        disable                 = no
        only_from               = 127.0.0.1 80.91.199.125
        log_on_failure          += USERID
}

Строчка "nagios-nrpe     9991/tcp" в /e/services есть.

В /e/nagios/nrpe.cfg добавил только строчку (как и на старом сервере):

command[check_ispman_agent]=/usr/lib/nagios/plugins/check_procr.sh -p ispman-agent

Плугин - взят откуда-то давным давно, т.е. не из поставки. Он, грубо
говоря, фильтрует вывод 'ps aux' и говорит, живой ли процесс (в данном
случае ispman-agent). Взят на старом сервере, где отлично работал.

Закавыка в том, что при любых моих действиях на сервере контролирующий
Nagios-сервер видит от удалённого плугина только код выхода 1 и текст, что
процесс не запущен (при этом, конечно, громко ругаясь). Имея некоторые
знания об особенностях альта, пользователя nobody в группу proc я сразу
добавил.

Интересно, что если сказать на самом сервере:

#su - -s /bin/sh -c '/usr/lib/nagios/plugins/check_procr.sh -p ispman-agent' nobody

то плугин пишет, что процесс жив (это правда). Пробовал менять пользователю
nobody шелл на sh и bash - не помогает.

Т.е. получается, при локальной работе пользователь видит процессы, а при
работе от xinetd - нет. Я что, наткнулся на какую-то секьюрити-фичу. Или
что?

P.S.: переменные среды на Nagios-сервере не могут повлиять?

--
                                        С уважением, системный
                                        администратор ООО "Крастел",
                                        Терешков Евгений.

Re: [Comm] NRPE

[Dmitry Lebkov]

Terechkov Evgenii wrote:
> Кто-нибудь использует Nagios-NRPE из Мастера 2.4 через xinetd ? Странная
> проблемка возникла. При миграций сервера с суси на мастер установил
> 
> nagios-plugins-1.3.1-alt5.1
> nagios-plugins-local-1.3.1-alt5.1
> nagios-nrpe-2.0-alt1.1
> 
> Содержимое /e/xinet.d/nagios-nrpe написал, глядя на старый конфиг. Вот оно:
> 
> service nagios-nrpe
> {
>         flags                   = REUSE
>         type                    = UNLISTED
>         port                    = 9991
>         socket_type             = stream
>         wait                    = no
>         user                    = nobody
>         group                   = nobody
>         server                  = /usr/sbin/nrpe
>         server_args             = -c /etc/nagios/nrpe.cfg --inetd
>         disable                 = no
>         only_from               = 127.0.0.1 80.91.199.125
>         log_on_failure          += USERID
> }
> 
> Строчка "nagios-nrpe     9991/tcp" в /e/services есть.

Это лишнее. То же самое тебе обеспечивает type = UNLISTED в конфиге xinetd.

> 
> В /e/nagios/nrpe.cfg добавил только строчку (как и на старом сервере):
> 
> command[check_ispman_agent]=/usr/lib/nagios/plugins/check_procr.sh -p ispman-agent
> 
> Плугин - взят откуда-то давным давно, т.е. не из поставки. Он, грубо
> говоря, фильтрует вывод 'ps aux' и говорит, живой ли процесс (в данном
> случае ispman-agent). Взят на старом сервере, где отлично работал.
> 
> Закавыка в том, что при любых моих действиях на сервере контролирующий
> Nagios-сервер видит от удалённого плугина только код выхода 1 и текст, что
> процесс не запущен (при этом, конечно, громко ругаясь). Имея некоторые
> знания об особенностях альта, пользователя nobody в группу proc я сразу
> добавил.
> 
> Интересно, что если сказать на самом сервере:
> 
> #su - -s /bin/sh -c '/usr/lib/nagios/plugins/check_procr.sh -p ispman-agent' nobody
> 
> то плугин пишет, что процесс жив (это правда). Пробовал менять пользователю
> nobody шелл на sh и bash - не помогает.
> 
> Т.е. получается, при локальной работе пользователь видит процессы, а при
> работе от xinetd - нет. Я что, наткнулся на какую-то секьюрити-фичу. Или
> что?

Попробуй добавить в систему пользователя nagios, включи его в группу proc,
и запускай из xinetd именно от этого пользоваетля. Да, у пользователя должен
быть указан реальный shell, а не /dev/null или /bin/false.

-- 
WBR, Dmitry Lebkov

> 
> P.S.: переменные среды на Nagios-сервере не могут повлиять?

Скорее всего причина в shell у пользователя nobody.

> 
> --
   ^^ Должно быть [dash][dash][space]

Re: [Comm] NRPE

[Evgenii Terechkov]

Dmitry Lebkov пишет:

>> service nagios-nrpe
>> {
>>         flags                   = REUSE
>>         type                    = UNLISTED
>>         port                    = 9991
>>         socket_type             = stream
>>         wait                    = no
>>         user                    = nobody
>>         group                   = nobody
>>         server                  = /usr/sbin/nrpe
>>         server_args             = -c /etc/nagios/nrpe.cfg --inetd
>>         disable                 = no
>>         only_from               = 127.0.0.1 80.91.199.125
>>         log_on_failure          += USERID
>> }
>> 
>> Строчка "nagios-nrpe     9991/tcp" в /e/services есть.
> Это лишнее. То же самое тебе обеспечивает type = UNLISTED в конфиге xinetd.

Точно. Малость я недоглядел.

>> Т.е. получается, при локальной работе пользователь видит процессы, а при
>> работе от xinetd - нет. Я что, наткнулся на какую-то секьюрити-фичу. Или
>> что?
> Попробуй добавить в систему пользователя nagios, включи его в группу proc,
> и запускай из xinetd именно от этого пользоваетля.

А чем же он будет отличаться от nobody? Только тем, что UID < 500? Это
разве как-то влияет? Вот у меня ровно 500 (на этом сервере) и я все
процессы вижу из сессий ssh. Nobody тоже видит. Но локально.

> Да, у пользователя должен быть указан реальный shell, а не /dev/null
> или /bin/false. Скорее всего причина в shell у пользователя nobody.

Говорю же - менял на [ba]sh. Не помогает.


Плюнуть и сделать standalone?
-- 

Re: [Comm] NRPE

[Dmitry Lebkov]

Evgenii Terechkov wrote:
> Dmitry Lebkov пишет:
> 
>>> service nagios-nrpe
>>> {
>>>         flags                   = REUSE
>>>         type                    = UNLISTED
>>>         port                    = 9991
>>>         socket_type             = stream
>>>         wait                    = no
>>>         user                    = nobody
>>>         group                   = nobody
>>>         server                  = /usr/sbin/nrpe
>>>         server_args             = -c /etc/nagios/nrpe.cfg --inetd
>>>         disable                 = no
>>>         only_from               = 127.0.0.1 80.91.199.125
>>>         log_on_failure          += USERID
>>> }

Посмотрел сейчас у себя конфиг от той же версии NRPE и вспомнились мне
какие-то странности, из-за которых пришлось указать group = proc в конфиге
xinetd. Попробуй, мож это именно оно ...

-- 
WBR, Dmitry Lebkov

Re: [Comm] NRPE

[Evgenii Terechkov]

Dmitry Lebkov пишет:

> Посмотрел сейчас у себя конфиг от той же версии NRPE и вспомнились мне
> какие-то странности, из-за которых пришлось указать group = proc в конфиге
> xinetd. Попробуй, мож это именно оно ...

Оно самое. Заработало. А я уже конфиг его настроил и в rc.local прописал
(ибо с инит-скриптом из пакета - полные вилы). Один только вопрос (по
этой теме) меня терзает: кто виноват? Знаю, что толку от ответа мало.
Просто нагиос (1.х) вообще-то мне понравился по ощущениям.

Впрочем, были относительно недавно какие-то непонятки также с nrpe.
Сейчас не вспомню точно, но кончилось установкой на машину отдельного
нагиоса и включением пассивных проверок на основном сервере.

Re: [Comm] NRPE

[Dmitry Lebkov]

Evgenii Terechkov пишет:
> Dmitry Lebkov пишет:
> 
>> Посмотрел сейчас у себя конфиг от той же версии NRPE и вспомнились мне
>> какие-то странности, из-за которых пришлось указать group = proc в конфиге
>> xinetd. Попробуй, мож это именно оно ...
> 
> Оно самое. Заработало. А я уже конфиг его настроил и в rc.local прописал
> (ибо с инит-скриптом из пакета - полные вилы). Один только вопрос (по
> этой теме) меня терзает: кто виноват? Знаю, что толку от ответа мало.
> Просто нагиос (1.х) вообще-то мне понравился по ощущениям.

Если я правильно помню - частично проблема в xinetd и частично в самом
nrpe. Я с этим разбирался достаточно давно и подробностей уже не помню.

> Впрочем, были относительно недавно какие-то непонятки также с nrpe.
> Сейчас не вспомню точно, но кончилось установкой на машину отдельного
> нагиоса и включением пассивных проверок на основном сервере.

Хм, у меня ничего подобного не возникало.

-- 
WBR, Dmitry Lebkov

Re: [Comm] NRPE

[Evgenii Terechkov]

Dmitry Lebkov пишет:

>> Впрочем, были относительно недавно какие-то непонятки также с nrpe.
>> Сейчас не вспомню точно, но кончилось установкой на машину отдельного
>> нагиоса и включением пассивных проверок на основном сервере.
> Хм, у меня ничего подобного не возникало.

Раскопал информацию об этом.Просто на машине количество проверок
большевато и проводить их надо, в отличий от логики главного сервера,
последовательно. Да и просто разгрузить (в смысле уменьшить период
реагирования) основной сервер.

Спасибо за помощь, Дмитрий.