安全優勢：check_by_ssh 與 check_nrpe

問題是哪個更安全 - 從配置的角度來看哪個更好。

我有許多 Centos 和 Debian 系統。NRPE 守護程序已安裝並在所有它們上執行，並nrpe.conf配置了allowed_hosts=127.0.0.1,<Nagios_monitoring_server_IP>. 客戶端的 NRPE 預設埠也只允許 Nagios_monitoring_server_IP 通過 iptables。Nagios 監控伺服器的所有檢查都使用check_nrpe.

以上是最安全的，還是使用check_by_ssh密鑰更好？

check_nrpe不安全，除非您配置和使用證書，否則您使用的是“匿名 Diffie-Hellman” ，請參閱 OpenSSL wiki 以獲得解釋。

NRPE 的安全性僅基於 IP 白名單，因此對於 MITM 攻擊也不安全……

check_by_ssh使用與任何 SSH 連接相同的安全性，並且對首次使用邏輯的信任是安全的（當主機密鑰添加到 known_hosts 時）

這就是為什麼 Icinga 2 的集群協議是建立在帶有證書的 TLS之上的。

引用自：https://serverfault.com/questions/933929