Nagios NRPE-plugin kann mit Version 2.15 nun auch endlich IPv6-Adressen erreichen, so dass Server, die nur über IPv6 erreichbar sind, per Nagios überwacht werden können. Debian-Backports gibt es auch bereits für diese Version, ABER

Bugreport 745272 wurde im April eingereicht, weil irgendjemand eine Sicherheitslücke entdeckt haben will, wenn er eine allow all Konfiguration im Nagios-NRPE-Server aktiviert. Ich gebe zu, es wäre schöner, eine Nutzerverwaltung und Authorisierung in NRPE implementiert zu haben, aber wie das Leben so spielt, ist nun einmal allowed_hosts die einzigste Absicherung (neben dem Binden an ein internes Interface via server_address).

As said this is considered a feature by upstream. And to be honest, people that are so stupid to allow dont_blame_nrpe + allowed_hosts=0.0.0.0/0 deserved a heise news entry.

Diese stupid-Konfiguration könnte Nagios natürlich patchen, aber es entstand nicht ohne Grund der Nagios-Fork Icinga. Nagios will es nicht patchen. Und Debian will den Patch nicht nutzen, den Michael Friedrich am 30.4. zur Verfügung stellte.

Im Juli gab es nun also eine neue Version der Debian-Pakete, mit hart ausgeschaltetem dont_blame_nrpe. Damit ist die Direktive in der Konfigurationsdatei wirkungslos.

# COMMAND ARGUMENT PROCESSING
# This option determines whether or not the NRPE daemon will allow clients
# to specify arguments to commands that are executed. This option only works
# if the daemon was configured with the –enable-command-args configure script
# option.

Da bereits mehrere user auf die Problematik gestoßen sind, und seitens Debian als Antwort lediglich geäußert wird, man könne das Paket sich selbst neu bauen und dann mit enable-command-args kompilieren, habe ich dies nun mal für alle von mir genutzten Versionen getan. Netter Nebeneffekt, NRPE gibt es nun auch in Version 2.15 für squeeze. Das Plugin ist für den Nagios-Server, mit der Version 2.15 sind IPv6-Adressen erreichbar. Der NRPE-Server akzeptiert wieder Argumente, jedoch keine ‚bash command substitution‘.

• plugin_2.15-1_amd64~jessie
• server_2.15-1_amd64~jessie
• plugin_2.15-1_amd64~wheezy
• server_2.15-1_amd64~wheezy
• plugin_2.15-1_amd64~squeeze
• server_2.15-1_amd64~squeeze
• plugin_2.15-1_i386~squeeze
• server_2.15-1_i386~squeeze

Dieser Text wurde am 18.09.2014 um 10:47 in der Kategorie 2.1.0 stuff-notes hinterlegt. Kommentare können mit dem RSS 2.0 Feed verfolgt werden. Both comments and pings are currently closed.