Ssh
安全優勢:check_by_ssh 與 check_nrpe
問題是哪個更安全 - 從配置的角度來看哪個更好。
我有許多 Centos 和 Debian 系統。NRPE 守護程序已安裝並在所有它們上執行,並
nrpe.conf
配置了allowed_hosts=127.0.0.1,<Nagios_monitoring_server_IP>
. 客戶端的 NRPE 預設埠也只允許 Nagios_monitoring_server_IP 通過 iptables。Nagios 監控伺服器的所有檢查都使用check_nrpe
.以上是最安全的,還是使用
check_by_ssh
密鑰更好?
check_nrpe
不安全,除非您配置和使用證書,否則您使用的是“匿名 Diffie-Hellman” ,請參閱 OpenSSL wiki 以獲得解釋。NRPE 的安全性僅基於 IP 白名單,因此對於 MITM 攻擊也不安全……
check_by_ssh
使用與任何 SSH 連接相同的安全性,並且對首次使用邏輯的信任是安全的(當主機密鑰添加到 known_hosts 時)這就是為什麼 Icinga 2 的集群協議是建立在帶有證書的 TLS之上的。