问题是哪个更安全 - 从配置的角度来看哪个更好。
我有许多 Centos 和 Debian 系统。NRPE 守护程序已安装并在所有它们上运行,并nrpe.conf
配置了allowed_hosts=127.0.0.1,<Nagios_monitoring_server_IP>
. 客户端的 NRPE 默认端口也只允许 Nagios_monitoring_server_IP 通过 iptables。Nagios 监控服务器的所有检查都使用check_nrpe
.
以上是最安全的,还是使用check_by_ssh
密钥更好?
check_nrpe
不安全,除非您配置和使用证书,否则您使用的是“匿名 Diffie-Hellman” ,请参阅 OpenSSL wiki 以获得解释。NRPE 的安全性仅基于 IP 白名单,因此对于 MITM 攻击也不安全……
check_by_ssh
使用与任何 SSH 连接相同的安全性,并且对首次使用逻辑的信任是安全的(当主机密钥添加到 known_hosts 时)这就是为什么 Icinga 2 的集群协议是建立在带有证书的 TLS之上的。