NSClient++ vs NRPE 3.2.1 sslv3 alert handshake failure

Hátha valaki szintén belefut ebbe a hibába:

Kliens:
Windows server 2016
NSClient++ 0.5.32

Server:
Ubuntu 18.04
Nagios Core 4.4.3
Openssl 1.1.0g

Kliensoldali log:

error:c:\source\master\include\socket/connection.hpp:276: Failed to establish secure connection: sslv3 alert handshake failure: 1040

Szerveroldali log:

check_nrpe: Error: (!log_opts) Could not complete SSL handshake with 192.168.1.100: dh key too small
check_nrpe: Error: (nerrs = 0)(!log_opts) Could not complete SSL handshake with 192.168.1.100: rc=-1 SSL-error=5
check_nrpe: message repeated 2 times: [ Error: (nerrs = 0)(!log_opts) Could not complete SSL handshake with 192.168.1.100: rc=-1 SSL-error=5]

Kézi próbálkozás:

nagios:/usr/local/share/nagios# /usr/local/share/nagios/libexec/check_nrpe -2 -P 8192 -H 192.168.1.100 -p 5666 -t 60
CHECK_NRPE: (ssl_err != 5) Error - Could not complete SSL handshake with 192.168.1.100: 1

Az internet tele van a hibával, a legtöbb helyen azt ajánlják, hogy használd a check_nrpe-t a "-2 -P 2048" kapcsolóval, ahol a -2 a visszafele kompatibilitást engedélyezi, a -P pedig a payload méretét állítja. Sajnos nekem nem oldotta meg a hibát...

Kb 1 hétig szoptam ezzel, mire egy eldugott fórumtéma 3. oldalán volt a tipp, hogy az újabb openssl már nem 512-es DH-val működik, hanem 2048-assal. A legújabb NSClient viszont csak 512-es dh.pem-el rendelkezik, ezért generáltam neki egy új 2048-ast és láss csodát, működik....

openssl dhparam -C 2048

nsclient.ini-be az alábbi sort kell betenni:

[/settings/NRPE/server]

dh = ${certificate-path}/nrpe_dh_2048.pem

( Elbandi v | 2019. 04. 03., sze – 16:35 )

irsz egy bevezeto sort, majd 

< ! -- break -- >

(spacek nelkul), es utana mar nem latszik a szoveg a kozos oldalon

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!