Ssh

安全優勢:check_by_ssh 與 check_nrpe

  • October 7, 2018

問題是哪個更安全 - 從配置的角度來看哪個更好。

我有許多 Centos 和 Debian 系統。NRPE 守護程序已安裝並在所有它們上執行,並nrpe.conf配置了allowed_hosts=127.0.0.1,<Nagios_monitoring_server_IP>. 客戶端的 NRPE 預設埠也只允許 Nagios_monitoring_server_IP 通過 iptables。Nagios 監控伺服器的所有檢查都使用check_nrpe.

以上是最安全的,還是使用check_by_ssh密鑰更好?

check_nrpe不安全,除非您配置和使用證書,否則您使用的是“匿名 Diffie-Hellman” ,請參閱 OpenSSL wiki 以獲得解釋

NRPE 的安全性僅基於 IP 白名單,因此對於 MITM 攻擊也不安全……

check_by_ssh使用與任何 SSH 連接相同的安全性,並且對首次使用邏輯的信任是安全的(當主機密鑰添加到 known_hosts 時)

這就是為什麼 Icinga 2 的集群協議是建立在帶有證書的 TLS之上的。

引用自:https://serverfault.com/questions/933929