Преимущества безопасности: check_by_ssh по сравнению с check_nrpe
Вопрос в том, что более безопасно, а не что лучше с точки зрения конфигурации.
У меня есть несколько систем Centos и Debian. Демон NRPE установлен и работает со всеми ними, с nrpe.conf , настроенным с allowed_hosts = 127.0.0.1, . Клиент' s Порт NRPE по умолчанию также разрешает Nagios_monitoring_server_IP через iptables. Все проверки с сервера мониторинга Nagios используют check_nrpe .
Является ли указанный выше наиболее безопасным или лучше использовать вместо него check_by_ssh с ключом?
check_nrpe не является безопасным, если вы не настраиваете и не используете сертификаты, если вы не используете «Анонимный Диффи-Хеллман» , см. Вики OpenSSL для объяснения .
Безопасность NRPE основана только на белых списках IP-адресов, поэтому она небезопасна и от атак MITM ...
check_by_ssh использует ту же безопасность, что и любое SSH-соединение, и безопасна при логике доверия при первом использовании (когда ключ хоста добавляется в known_hosts)
Вот почему протокол кластера Icinga 2 построен на TLS с сертификатами .