Nagiosを使用してサービスが利用できないことを確認することは妥当ですか？

プライベートインターフェイスとパブリックインターフェイスを備えたサーバーがあるとします。パブリックにはHTTP（S）サーバーなどがあり、プライベートにはMySQLとSSHがあります。

明らかにNagiosは、サービスがそれぞれのインターフェースで実行されていることを確認するのに役立ちます。しかし、MySQLおよびSSHポートがパブリックインターフェイスで開いていないことを明示的にテストするチェックを構築することは良い考えですか？このアイデアは、プライベートである必要のあるサービスを開いた不注意による設定ミスをキャッチし、適切に警告することです。

私の一部は、これはひどくうまくスケールしないだろうという考えを持っています-たとえば、iptables DROPルールがあると想像してください。しかし、そのタイムアウトは、ブロックされたサービスを、本当に行き詰まっているオープンなサービスと区別できるように、十分に長くなければなりません。

これは実用的なアイデアですか？Nagiosは適切なツールですか？私は、TCPチェックプラグインからの結果を無効にする可能性を検討していませんが、それが可能であると確信しています...

はい、もちろん。監視システムの役割は、ビジネス要件がITインフラストラクチャによって現在満たされていることを確認することです。

私の直感は、監視しているポートの数に簡単な制限（まあ、65535）はなく、ポートが突然開かないようにすること、そしてこの制御を実現する最良の方法は、厳密なソース制御と強力なサーバーでの積極的なファイルシステム監視（トリップワイヤなど）。

しかし、絶対にビジネスクリティカルである特定のポートが公開されていない場合は、はい、必ず、特定のチェックを適用します。NAGIOS negateプラグインは、ほとんどの主要なディストリビューションに同梱されており、まさにあなたが提案したことを行うために使用されます。

チェックとnegateプラグインを組み合わせて、チェックロジックを反転させることができます。たとえば、CRIT、WARN、UNKNOWN、およびOKを他の状態に再定義できます。詳細は--helpの出力を参照してください。

DROPポリシーがチェック時間の増加を懸念している場合は、タイムアウトを短くすることができます。このようなチェックでは、おそらく5分ごとにチェックする必要もありません。時間ごとに実行されるいくつかの同様のチェックがあります。