Владимир

Ну по сути делается так:
Либо вы настраиваете pam.d для работы с централизированным юзер менеджментом (ldap/ AD)

Либо настраиваете ssh через велосипед, в котором конфигурируете сервер на работу с ключами только, например, из /etc/ssh/users/$user/keys, и ключи туда раскладываете сами - руками или любым оркестратором.
Мониторить конфиги sshd серверов и ключей, чтобы их никто не менял, и в принципе все.
Также данную задачу можно решить не совсем велосипедом а поискать готовые решения. Из платных знаю по tectia sshd сервер, он еще и логирование централизовано сделает. Но уверен что есть и другие.

Первый вариант хорош, если у вас уже есть какой-то AD или LDAP в организации, к которому можно просто интегрироваться.

Заходить нужно туда куда вам интересно.
ИБ это настолько широкий в различных интерпретациях термин, что сначала его вам нужно узко переопределить.
Формально ИБ это работа в первую очередь документарного характера, например описание процедур приведения системы в соответствие с законом о защите персональных данных, или в соответствие с требованиями к гостайне, банковской тайне и т.д.
В этой плоскости, ИБ вообще не техническая специальность, требующая некоторых специальных технических знаний. Это документы.
Есть другая интерпретация данного термина, это тестирование на проникновение, защита приложений, защита сетей, т.е. практическая безопасность сервисов, приложений, хранилищ данных, сетей, каналов передачи и т.д.
Эта интерпретация как правило не имеет прозрачной системы обучения, не стандартизирована и очень очень широкая.

Например защита каналов передачи данных, это и физическая защита, и инженерная с точки зрения строительства, и сетевые администраторы с VNP тоннелями, и системные администраторы с https, и математики с шифрованием, и физики с квантовыми эффектами. А еще это куча административных мер, по защите проекта прокладки канала, поскольку в проект могут быть внесены не санкционированные изменения, и проверка реальных работ по прокладке, проектным, а еще различное лицензирование на данные работы и оборудование и т.д. и т.п.

Если вы хотите изучать "практическую" ИБ, вам нужно сначала глубоко изучить более узкую область с уклоном на потенциальные уязвимости, например системной и сетевое администрирование, разработку приложений и веб сервисов, особенности функционирования процессоров и шифрования, работы генераторов псевдослучайных чисел и математику.

Функция mail() в PHP по сути вызывает встроенную в систему почтовую программу - стандартно, это sendmail в linux (также, возможно использовать qmail, postfix, но для этого надо сначала сконфигурировать PHP через .ini файл).
Подробнее про Mail в PHP: https://www.php.net/manual/ru/book.mail.php
И про основную проблему кроссплатформенного использования: https://habr.com/ru/post/26518/

PHPMailer - это мощная библиотека, реализующая почтовые транспорты, а не использующая sendmail как стандартная mail() функция. Имеет из коробки большое количество возможностей, таких как (в списке представлена лишь малая часть):

• полная поддержка SMTP, Qmail, POP3, IDN, DKIM;
  
• поддержка SSL и TLS;
  
• работает на любой win32 и *nix платформе;
  
• гибкость отладки;
  
• определяемые вручную заголовки писем;
  
• совмещение нескольких сообщений и вложений;
  
• встроенная поддержка изображений;
  
• умеет посылать письма с множественными: адресатами (TO), копиями (CC), BCC и REPLY-TO;
  
• многослойные/альтернативные сообщения для клиентов, которые не могут читать HTML письма;
  
• поддержка 8 бит, base64, бинарного режима, и пригодного для печати формата;
  
• перенос слов (word wrap);
  
• сообщения в виде HTML (шаблоны);
  
• библиотека проверена на множестве SMTP серверах: Sendmail, qmail, Postfix, Imail, Exchange, Mercury, Courier;
  
• библиотека используется под капотом таких гигантов: WordPress, Drupal, 1CRM, SugarCRM, Yii, Joomla;
  

Подробнее можно прочитать тут:
https://jino.ru/journal/articles/pochta-phpmailer/
https://www.sesmikcms.ru/pages/read/ischerpyvajusc...

Помимо PHPMailer существуют и другие крутые библиотеки, оставляю список для интересующихся:
Swiftmailer
(Symfony) Mailer

Если вы активно пользуетесь функцией mail() при разработке на PHP и до сих пор ещё не сталкивались с проблемами при её использовании на хостингах или на своих собственных серверах без соответствующего правильно настроенного окружения, то mail() вам идеально подходит. А когда столкнётесь с проблемами или захотите иметь больше возможностей из коробки, станут очевидными плюсы PHPMailer и других специализированных библиотек.

Не может ли так быть, что файл будет битым при этом.

Почти наверняка будет битым.
И тормозить СУБД может быть даже недостаточно. Гарантировать "небитость" можно только при размонтировании.

• остановили СУБД
  
• отмонтировали контейнер
  
• сделали бэкап
  
• примонтировали контейнер
  
• подняли СУБД
  

В остальных случаях получится бэкап Шрёдингера. :)

Ну или правильный метод: делать бэкап средствами СУБД, без остановки. Можно бэкапить в другой примонтированный криптоконтейнер.

https://www.zabbix.com/documentation/current/ru/ma...

system.cpu.util[<cpu>,<тип>,<режим>]

cpu - номер CPU (по умолчанию все CPU)
тип - возможные значения:
idle, nice, user (по умолчанию), system (по умолчанию для Windows), iowait, interrupt, softirq, steal, guest (на ядре Linux 2.6.24 и выше), guest_nice (на ядре Linux 2.6.33 и выше). Параметры времени user и nice более не включают время guest и время guest_nice начиная с Zabbix 3.0.14, 3.4.5 и 4.0.0.
режим - возможные значения:
avg1 (усреднение за одну минуту, по умолчанию), avg5, avg15

Получается по умолчанию показывается system.cpu.util[,user,avg1] то есть загрузка только в пространстве пользователя с усреднением за 1 минуту, а top показывает нагрузку в данный момент, включая и пространство ядра, и пространство пользователя, и iowait.

Проще говоря вы сравниваете тёплое с мягким.

Проще отключить discovery после запуска Zabbix в панели управления configuration-discovery-disable всего что видно. Скорее всего, проблема в том, что local subnet discovery, который там по умолчанию, пытается сканировать не локальную подсеть хоста, которая обычно /24, а внутреннюю (к тому же пустую!) подсеть docker-контейнера, которая по умолчанию /20 или шире.