Não estou convencido de que seja um problema ter o monit sendo executado como raiz, desde que o acesso a ele seja limitado corretamente. Olhando para o arquivo de configuração, /etc/monit/monitrc notei esta seção para o arquivo:
## Monit has an embedded web server which can be used to view status of
## services monitored and manage services from a web interface. See the
## Monit Wiki if you want to enable SSL for the web server.
#
# set httpd port 2812 and
# use address localhost # only accept connection from localhost
# allow localhost # allow localhost to connect to the server and
# allow admin:monit # require user 'admin' with password 'monit'
# allow @monit # allow users of group 'monit' to connect (rw)
# allow @users readonly # allow users of group 'users' to connect readonly
#
Você pode simplesmente permitir o acesso ao servidor HTTP, permitindo apenas o acesso a ele via host local. Isso colocará completamente monit off de modo que somente o acesso a ele seja permitido localmente. Você pode configurar os túneis SSH se precisar acessá-los mais tarde usando ssh -R 8080:monitserver:80 monitserver , por exemplo.