сертификат SSL только действителен для данного домена - это обычно - или www.domain.com ИЛИ domain.com. Подстановочный знак сертификаты SSL также доступны (который кажется, что Вы имеете в этом случае), который проверит *.domain.com, включая www.domain.com однако все еще не проверит для domain.com.
Решения были бы:
Я неизменно иду для 1-й опции, которая легко достигается в IIS или Apache
Ну, сначала решите, хотите ли Вы SELinux. Весь EL базировался, установили его и включили по умолчанию, но в значительной степени никакой другой дистрибутив не делает. Это дает Вам немного безопасности, но больше, чем немного головные боли, таким образом, необходимо весить так или иначе, хотите ли Вы это. Если Вы не делаете, можно отключить его в/etc/selinux/config. Комментарии в файле скажут Вам точно, что сделать.
Если Вы хотите Вас, может также попытаться понизить его. Если в настоящее время устанавливает на осуществление, можно переключить его на разрешающий и видеть, позволяет ли оно Вам выполнить NRPE. Также Вы можете находить еще некоторые пошаговые демонстрации при установке NRPE, использующего SELinux. Честно я всегда нахожу, что это слишком много раздражения для ценности безопасности. HTH
Править: Можно найти набор selinux bools для nagios здесь: http://wiki.centos.org/TipsAndTricks/SelinuxBooleans
Если логическое значение nrpe_disable_trans
не является вариантом:
Вы можете следовать этим инструкциям, чтобы создать свою собственную политику, разрешающую NRPE . По сути, это будет включать запуск SELinux в разрешающем режиме, достаточный для того, чтобы ваш сервер Nagios мог выполнить все запланированные проверки NRPE. Затем вы можете передать их из файла audit.log в audit2allow. Это создаст необходимые политики для вашего обзора и включения.
Файл nrpe.te Томаса Блехера также может служить полезной отправной точкой или справочным материалом для создания вашей собственной политики.
Я заметил, что сообщение AVC содержит path = "/ usr / bin / sudo"
. Это означает, что NRPE тормозит при попытке использовать sudo
для вызова подключаемого модуля.
Первое (но ни в коем случае не последнее!) Действие, которое вам нужно сделать, чтобы разрешить это:
sudo setsebool -P nagios_run_sudo on
( -P
записывает изменение в файл политики на диске. Таким образом, оно будет постоянным после перезагрузки.)
Теперь ваш плагин будет работать от имени пользователя root. Но, скорее всего, он не может делать ничего сложного (например, запускать программы с доменом, отличным от bin_t
), потому что ваш плагин все еще работает как домен nrpe_t
. Этот домен намеренно имеет ограничительные разрешения; он даже не может записывать файлы в /tmp.