Вопрос в том, что более безопасно, а не что лучше с точки зрения конфигурации.
У меня есть несколько систем Centos и Debian. Демон NRPE установлен и работает со всеми ними, с nrpe.conf
, настроенным с allowed_hosts = 127.0.0.1,
. Клиент' s Порт NRPE по умолчанию также разрешает Nagios_monitoring_server_IP через iptables. Все проверки с сервера мониторинга Nagios используют check_nrpe
.
Является ли указанный выше наиболее безопасным или лучше использовать вместо него check_by_ssh
с ключом?
check_nrpe
не является безопасным, если вы не настраиваете и не используете сертификаты, если вы не используете «Анонимный Диффи-Хеллман» , см. Вики OpenSSL для объяснения .
Безопасность NRPE основана только на белых списках IP-адресов, поэтому она небезопасна и от атак MITM ...
check_by_ssh
использует ту же безопасность, что и любое SSH-соединение, и безопасна при логике доверия при первом использовании (когда ключ хоста добавляется в known_hosts)
Вот почему протокол кластера Icinga 2 построен на TLS с сертификатами .