Big Brother 3.0 is watching you
By n on Saturday 27 January 2018, 14:19 - Permalink
Non je ne parle pas d'Icinga 3 qui n'est pas (encore) sorti, par contre l'équipe Nagios a sorti la version 3 de son agent NRPE il y a (déjà) un an et demi, et FreeBSD de son coté a remplacé le port nrpe2 par nrpe3 le premier janvier de cette année.
Ça ne m'aurait pas dérangé plus que ça si la compatibilité SSL n'avait pas sauté au passage, en effet depuis la version 3 l'agent utilise des vrais certificats, et impossible d'interroger la sonde avec check_nrpe pour cause de "Could not complete SSL handshake".
J'aurais bien basculé sur NCPA qui est cross-platform et toujours en version 2.x mais pas de bol, il n'existe pas pour *BSD :(
Bref la seule solution à court terme est de désactiver l'usage du SSL pour la sonde en question (heureusement que tout est en réseau privé...), ce qui se fait en ajoutant la ligne:
ssl_client_certs=0
dans le fichier npe.cfg.
Évidemment ça ne suffit pas, ce serait trop simple, il faut également lancer le démon avec l'argument "--no-ssl". Et comme le port FreeBSD ne permet pas de passer des paramètres au démon, il faut le faire à-la-sale directement dans le script de démarrage:
command_args="-c ${nrpe3_configfile} -d --no-ssl"
Ledit script se trouvant sous FreeBSD dans /usr/local/etc/rc.d/nrpe3.
Prochaine étape: migrer la douzaine de sondes restantes pour pouvoir réactiver le SSL :(