Isso deve ser corrigido por esta errata: link
Depois de instalar o Nagios NRPE & Nagios Plugins, estou recebendo a seguinte entrada no meu rsyslog:
May 13 14:01:30 wcmisdlin02 kernel: type=1400 audit(1305309690.482:2334): avc: denied { getattr } for pid=3835 comm="sh" path="/usr/bin/sudo" dev=dm-0 ino=7355981 scontext=unconfined_u:system_r:nrpe_t:s0 tcontext=system_u:object_r:sudo_exec_t:s0 tclass=file
Parece que meus plugins do Nagios que estou tentando executar através do NRPE estão sendo bloqueados pelo SELinux. O que devo fazer?
Isso deve ser corrigido por esta errata: link
Se o nrpe_disable_trans booleano não for uma opção:
Você pode seguir estas instruções para criar sua própria política para permitir NRPE . Basicamente, isso envolveria executar o SELinux no modo permissivo por tempo suficiente para que seu servidor Nagios execute todas as verificações agendadas do NRPE. Em seguida, você pode canalizá-los do arquivo audit.log para audit2allow. Isso criará as políticas necessárias para sua análise e inclusão.
o arquivo nrpe.te de Thomas Bleher também pode servir como um ponto de partida ou referência útil para criar sua própria política.
Bem, primeiro decida se você quer o SELinux. Todos os baseados em EL tê-lo instalado e habilitado por padrão, mas praticamente nenhuma outra distro faz. Isso lhe dá um pouco de segurança, mas mais do que um pouco de dor de cabeça, então você tem que pesar de um jeito ou de outro, quer você queira. Caso contrário, você pode desativá-lo no / etc / selinux / config. Os comentários no arquivo dirão exatamente o que fazer.
Se você quiser, também pode tentar abaixá-lo. Se o seu atualmente definido para impor você pode alterná-lo para permissivo e ver se ele permite que você execute NRPE. Além disso, você poderá encontrar mais orientações sobre como configurar o NRPE usando o SELinux. Honestamente, eu sempre acho que é um aborrecimento demais para valer a segurança. HTH
Edit: Você pode encontrar um monte de boinas do selinux para nagios aqui: link
Percebi que a mensagem do AVC contém path="/usr/bin/sudo" . Isso significa que o NRPE está ocorrendo ao tentar usar sudo para invocar um plugin.
A primeira coisa (mas NÃO é a última!) que você terá que fazer para permitir isso:
sudo setsebool -P nagios_run_sudo on
( -P escreve a alteração no arquivo de política no disco. Por isso, ela será persistente nas reinicializações).
Agora, seu plug-in será executado como root. Mas provavelmente não pode fazer nada complicado (por exemplo, executar programas que tenham um domínio diferente de bin_t ), porque seu plug-in ainda está em execução como o domínio nrpe_t . Este domínio tem deliberadamente permissões restritivas; ele não pode nem gravar em arquivos em / tmp.