Kommentare zu: Nagios-Cecks über SSH http://schimana.net/2008/02/it/nagios-cecks-ueber-ssh/ Weblog Wed, 03 Dec 2008 22:47:22 +0000 http://wordpress.org/?v=2.6.3 Von: Denny http://schimana.net/2008/02/it/nagios-cecks-ueber-ssh/#comment-842 Denny Wed, 27 Feb 2008 12:59:32 +0000 http://schimana.net/2008/02/it/nagios-cecks-ueber-ssh/#comment-842 Das Problem ist aber auf der anderen Seite, dass für NRPE ein Port geöffnet werden muss und für die jeweiligen Systeme übersetzt werden müsste. SSH dagegen gibt es für alle und ist meist auch schon drauf. Man kann SSH so absichern, dass selbst mit dem Schlüssel keiner etwas anderes anfangen kann, außer _vordefinierte_ Befehle abzusetzen. In diesem Fall hatte ich damit zu kämpfen, dass eben _nur_ SSH rausgelassen wird. Daher die Kombi mit check_by_ssh. Mir persönlich ist aber NRPE auch lieber, da ich mir dann die Einrichtung des Nagios Accounts ersparen kann, was ein wenig, nunja, fummlig ist. Das Problem ist aber auf der anderen Seite, dass für NRPE ein Port geöffnet werden muss und für die jeweiligen Systeme übersetzt werden müsste. SSH dagegen gibt es für alle und ist meist auch schon drauf.
Man kann SSH so absichern, dass selbst mit dem Schlüssel keiner etwas anderes anfangen kann, außer _vordefinierte_ Befehle abzusetzen.

In diesem Fall hatte ich damit zu kämpfen, dass eben _nur_ SSH rausgelassen wird. Daher die Kombi mit check_by_ssh.

Mir persönlich ist aber NRPE auch lieber, da ich mir dann die Einrichtung des Nagios Accounts ersparen kann, was ein wenig, nunja, fummlig ist.

]]> Von: Tom Schimana http://schimana.net/2008/02/it/nagios-cecks-ueber-ssh/#comment-840 Tom Schimana Wed, 27 Feb 2008 11:14:16 +0000 http://schimana.net/2008/02/it/nagios-cecks-ueber-ssh/#comment-840 Wollte damit auch nicht erreichen, dass keiner mehr NRPE verwendet. :-) Wollte damit auch nicht erreichen, dass keiner mehr NRPE verwendet. :-)

]]> Von: matthias http://schimana.net/2008/02/it/nagios-cecks-ueber-ssh/#comment-839 matthias Wed, 27 Feb 2008 11:01:31 +0000 http://schimana.net/2008/02/it/nagios-cecks-ueber-ssh/#comment-839 In dem speziellen Beispiel macht so eine Lösung mit check_by_ssh Sinn, aber generell mache ich bei Nagios alles nur noch mit NRPE+SSL. SSH ist nur ein weiteres Glied in der Kette, das Probleme machen kann. So kann z.B. bei DNS Problemen ein Login über SSH ziemlich lange dauern und es dann einen Timeout beim Plugin Check geben. Außerdem muss man einen extra System User anlegen, der sich auf allen Systemen einloggen kann. Bekommt jemand Zugriff auf die Schlüssel des Nagios SSH Benutzers, hat er Zugriff auf alle überwachten Server. In dem speziellen Beispiel macht so eine Lösung mit check_by_ssh Sinn, aber generell mache ich bei Nagios alles nur noch mit NRPE+SSL.

SSH ist nur ein weiteres Glied in der Kette, das Probleme machen kann. So kann z.B. bei DNS Problemen ein Login über SSH ziemlich lange dauern und es dann einen Timeout beim Plugin Check geben.
Außerdem muss man einen extra System User anlegen, der sich auf allen Systemen einloggen kann. Bekommt jemand Zugriff auf die Schlüssel des Nagios SSH Benutzers, hat er Zugriff auf alle überwachten Server.

]]>