Вопрос в том, что безопаснее, а что лучше с точки зрения конфигурации.
У меня есть несколько систем Centos и Debian. Демон NRPE установлен и работает на всех них, с nrpe.conf настроен с allowed_hosts=127.0.0.1,<Nagios_monitoring_server_IP>. Порт NRPE клиента по умолчанию также позволяет Nagios_monitoring_server_IP через iptables. Все проверки с сервера мониторинга Nagios используют check_nrpe.
Это самый безопасный вариант или лучше использовать check_by_ssh с ключом вместо этого?
check_nrpe не является безопасным, если вы не настроите и не используете сертификаты, в противном случае вы не используете "Анонимный Диффи-Хеллман" см. вики OpenSSL для объяснения.
Безопасность NRPE основана только на белых списках IP-адресов, поэтому она небезопасна и от атак MITM ...
check_by_ssh использует ту же безопасность, что и любое SSH-соединение, и безопасна в логике доверия при первом использовании (когда ключ хоста добавлен в known_hosts)
Вот почему кластерный протокол Icinga 2 построен на TLS с сертификатами.