问题是哪个更安全——而不是从配置的角度来看哪个更好。
我有许多 Centos 和 Debian 系统。NRPE 守护程序已安装并运行在所有系统上,nrpe.conf配置为allowed_hosts=127.0.0.1,<Nagios_monitoring_server_IP>。客户端的 NRPE 默认端口也仅允许通过 iptables 访问 Nagios_monitoring_server_IP。Nagios 监控服务器的所有检查都使用check_nrpe。
以上是否最安全,还是最好使用check_by_ssh密钥?
答案1
check_nrpe不安全,除非你配置并使用证书,否则你正在使用“匿名 Diffie-Hellman”请参阅 OpenSSL wiki 了解解释。
NRPE 的安全性仅基于 IP 白名单,因此无法抵御 MITM 攻击……
check_by_ssh使用与任何 SSH 连接相同的安全性,并且在首次使用逻辑上的信任是安全的(当主机密钥添加到 known_hosts 时)
这就是 Icinga 2 集群协议建立的原因带证书的 TLS。