Executando plug-ins com NRPE como root: NRPE não consegue ler a saída

Navegue suas respostas
1

Eu tenho um problema com nagios e NRPE e não consigo resolvê-lo.

Eu já tentei. 

# grep "nrpe_user=" /etc/nagios/nrpe.cfg
nrpe_user=nrpe

O NRPE está sendo executado como o nrpe do usuário. Então eu adicionei estas linhas para visudo: 

Defaults:nrpe !requiretty
nrpe ALL=(ALL) NOPASSWD: /usr/lib64/nagios/plugins/check_jboss_files

Eu editei meu nagios nrpe.cfg: 

command[check_jboss_files]=sudo /usr/lib64/nagios/plugins/check_jboss_files

Mas se eu tentar executar o comando do servidor Nagios, recebo o seguinte: 

# /usr/lib64/nagios/plugins/check_nrpe -H 1.2.3.4 -c check_jboss_files
NRPE: Unable to read output

O script estava sendo executado como esperado quando lançado localmente, mesmo quando executado como usuário nrpe: 

# sudo sudo -s -u nrpe
bash-4.2$ sudo /usr/lib64/nagios/plugins/check_jboss_files
JBOSS Files: 2049
WARNING - JBOSS Files: 2049

Sem sudo o script está funcionando no servidor nagios, mas deve funcionar com o sudo para dar bons resultados. O que eu perdi? Eu provavelmente já tentei de tudo e ficarei grato por qualquer ajuda.

    
por Typerek 17.09.2017 / 02:46

1 resposta

0

Eu enfrentei uma situação muito semelhante recentemente e a solução foi configurar o selinux para permitir acesso ao sudo.

Siga o artigo e você descobrirá o que fazer.

Para mim, isso funcionou no CentOS 7.4:

  1. yum install -y setroubleshoot-server
  2. Pesquise a violação no log de auditoria
  3. Use audit2why
  4. Siga sua sugestão

Minha violação: 

$ grep -m 1 type=AVC.*sudo /var/log/audit/audit.log | audit2why
type=AVC msg=audit(1525359549.889:211763): avc:  denied  { getattr } for  pid=127488 comm="check_d" path="/usr/bin/sudo" dev="dm-0" ino=67120340 scontext=system_u:system_r:nrpe_t:s0 tcontext=system_u:object_r:sudo_exec_t:s0 tclass=file
Was caused by:
The boolean nagios_run_sudo was set incorrectly.
Description:
Allow nagios to run sudo

Allow access by executing:
# setsebool -P nagios_run_sudo 1

A execução do comando sugerido resolveu meu problema.

    
por 04.05.2018 / 13:29

Tags

Receber e enviar e-mail usando o Amazon SES Proxy reverso separado por usuário no apache2.4