Probleme mit ssh nach Wechsel auf Versin 2.0.0p1

Mit den Wechsel von 1.6.0p22 auf 2.0.0p1 funktioniert die Abfrage des Agenten über ssh nicht mehr.

Das Problem liegt an einen Versionskonflikt der libssl.so.1.1 und libcrypto.so.1.1 aus dem Betriebssystem (SLES 15 Sp2) und den im cmk enthaltenen Bibliotheken. Als Workaround wurden die Bibliotheken aus /usr/lib/ nach /omd/sites//lib/ kopiert; eine Anpassung der ~/etc/enviroment hatte noch mehr Probleme bereitet.
Die Abfrage über ssh funktioniert dadurch wieder, jedoch laufen dann die http(s) checks in einen Fehler.

Übersehe ich dabei noch etwas oder muss ich auf das nächste Bugfix zu warten?

Was genau kommt den als Fehler? Vom ssh wie von den https Checks.

Hallo,
innerhalb von WATO kommt die Meldung:
[agent] Program ‘ssh’ not found (exit code 127), Got no information from host, execution time 0.1 sec

auf der Kommandozeile als Site Benutzer:
ssh: symbol EVP_KDF_CTX_free, version OPENSSL_1_1_1d not defined in file libcrypto.so.1.1 with link time reference

als root geht es, ist aber nicht Sinn der Sache.

Hallo @zucki,

wir haben dafür ein internes Ticket und werden es zeitnah fixen.

Gruß
Anastasios

2 Likes

Man kann speziell für ssh die libcrypto des Betriebsystems über LD_PRELIAD verwenden. Command line to execute ist dann: LD_PRELOAD=/usr/lib64/libcrypto.so.1.1 ssh...

1 Like

Hallo,

das Problem besteht nur mit SLES 15 Sp2 - wir haben es hier damit gelöst, dass ich auf Ubuntu 20.ß4 gewechselt bin.
Beide Distributionen sind bei uns im Einsatz und der Umzug mit

omd backup / omd restore

war problemlos,

Den Vorschlag mit LD_PRELIAD werde ich auch versuchen; das könnte in anderen Bereichen auch hilfreich sein.

Danke und Grüße
Zucki

2 Likes

Hallo,
das Thema hatte ich vor einiger Zeit auch, das liegt an der Version von OpenSSL und genauer gesagt an dem “d” oder “k” - Release davon. Das Gleiche kann wieder passieren, wenn die OpenSSL - Version 3 in Einsatz kommt.

Daher habe ich das eleganter gelöst und gehe hier über die CONFIG von SSH und einem eigenem Benutzer auf dem jeweiligen Rechner, der nur das Monitoring ausüben kann. Damit übergibst Du Deinem System die Steuerung davon & das klappt einwandfrei, selbst mit OpenSSL 3.x :wink: :upside_down_face: :upside_down_face:

Herzliche Grüße

Matthias