ValdikSS

Самый простой вариант, который (пока) не блокируют — OpenVPN TCP через HTTP-прокси. OpenVPN поддерживает работу через прокси без дополнительных программ, поэтому настройка сводится к:

• Установке прокси-сервера на сервере (настройте его так, чтобы доступ был разрешён только к IP-адресу и порту VPN-сервера)
  
• Добавлению директивы http-proxy в конфигурационный файл клиента
  

Вообще, OpenVPN TCP можно туннелировать в любом другом слое или протоколе. Самый очевидный и популярный вариант — stunnel.
Альтернативный подход, не столь надёжный, зато применяемый на стороне и клиента, и сервера — нарушение определения VPN-протокола до блокировки сессии. Примеры: 1, 2.

Для этого используют полнодисковое шифрование с использованием Trusted Boot.

Вполне возможно, что причина зависаний в nouveau. Я недавно сталкивался с подобными зависаниями на 8600GT, причём система зависала полностью, словно процессор переставал выполнять код, будто драйвер вводит систему в бесконечное ожидание команд от PCI-шины, блокирующее процессор.

https://forums.debian.net/viewtopic.php?t=150559
Кому-то помогло отключение аппаратного курсора:
https://bbs.archlinux.org/viewtopic.php?id=254229

решил проверить syslog и увидел странное […] и потом "многоточие"

Скорее всего вы видите нуль-байты битого файла: размер файла успел увеличиться до зависание системы, а сами данные не успели записаться.

Решение: использовать проприетарный драйвер или сообщать об ошибке разработчикам nouveau и отлаживать с ними.

Необходимо настроить либо policy routing для каждого интерфейса (в особенности, для физического интерфейса сервера), либо настроить отдельные программы (демоны) на bind к конкретным сетевым интерфейсу (и убедиться, что у вас сохраняется маршрут по умолчанию через оба интерфейса, но при этом имеют разную метрику).
И самый простой вариант, который позволит подключаться только с заранее указанных IP-адресов — добавить маршрут через конкретный интерфейс до конкретного адреса или диапазона.

Вам нужен BGP Full View.

Нужны отдельные unix-пользователи на сервис/проект/сайт, иначе в случае взлома сайта А будет возможность читать и модифицировать файлы сайта Б, т.к. все файлы принадлежат www-data.

Отдельные пользователи нужны всем сервисам, которые так или иначе взаимодействуют с файлами. В случае PHP это php-fpm (или другой исполнитель) — у каждого сайта должен быть свой пул со своим пользователем. Всё, с чем взаимодействие ведётся только по сети/сокету и имеет правильное разделение привилегий (базы данных), должны работать от своего (стандартного) пользователя.

В случае веб-сервера также уместно разделить статические данные от кода: картинкам и .js-файлам следует назначить www-data, чтобы веб-сервер мог их прочесть и раздать, а php-код любого сайта при этом не мог эти данные модифицировать. Верно и в обратную сторону — веб-сервер не сможет отдать ваши .php-файлы без их исполнения в случае некорректной настройки веб-сервера.

Но я все еще могу ввести s1.domain.com:9090 или domain.com:9090 и попасть на второй сервер

Потому что вы пробрасываете (expose) порты из Docker на хост. Не используйте эту функцию, тогда сервисы не будут открываться на порту хоста.

Скорее всего, если ваш скрипт пишет в stdout/stderr, а вы это не видите в журнале, проблема с буферизацией вывода.
Запускайте скрипт как python3 -u bot.py. Параметр -u отключает буферизацию.

-u Force the stdout and stderr streams to be unbuffered. This option has no effect on the stdin stream.

Alt-PrintScreen-F нажмите, это запустит Out-of-memory-killer и убьет процесс с самым большим потреблением RAM.
А чтобы избавиться от проблемы — Давняя проблема Linux: плохая работа при недостатк... (общая информация) + ядро 6.1+ с включённым MGLRU.

Используйте любой способ динамической настройки. В NetworkManager есть плагин для задействования dnsmasq, если вам нужен именно этот сервер.
https://fedoramagazine.org/using-the-networkmanage...

Если у вас не используется NetworkManager, а используется dhclient или dhcpcd, напишите хуки, которые бы правили конфигурационный файл и перезапускали dnsmasq.

У вас 32-битный процессор? Из современных именитых x86 32-битных дистрибутивов осталось только два: Debian и OpenSUSE Tumbleweed. Остальные либо еще формируют 32-битные пакеты, но не выпускают установочные .iso (а значит, никто эти пакеты не проверяет), либо вовсе не собирают x86, либо многие пакеты в них сломаны, как в ArchLinux32.

Рекомендую вам попробовать с Debian 12 (bookworm, в данный момент в testing), т.к. он достаточно свежий, а главное — в нём свежее ядро, в котором решена давняя проблема Linux — зависание при недостатке памяти.
После установки, выполните следующие команды, чтобы увеличить отзывчивость:

sudo apt install zram-tools
sudo sed -i 's/^#PERCENT=.*/PERCENT=150/' /etc/default/zramswap
echo 'w-      /sys/kernel/mm/lru_gen/enabled          -       -       -       -       y' | sudo tee /etc/tmpfiles.d/mglru.conf
echo 'w-      /sys/kernel/mm/lru_gen/min_ttl_ms       -       -       -       -       1000' | sudo tee -a /etc/tmpfiles.d/mglru.conf

Перезагрузитесь, затем пробуйте пользоваться системой.

Если же у вас Pentium 4 из более поздних поколений, то можете установить 64-битный дистрибутив, из выбор значительно шире. См. статью по ссылке выше.

В автоматическом режиме

Никак, Wireguard предназначен только для статических туннелей, преимущественно сервер-сервер. Никакой конфигурации клиента со стороны сервера не предусмотрено.

Вот так точно работает:

dd if=linuxmint-20.2-xfce-64bit.iso bs=1 count=432 of=isohdpfx.bin

xorriso -as mkisofs -V "Mint" -o final/linuxmint-20.1-xfce-oldpc-le9-07.07.2021-64bit.iso -J -joliet-long -cache-inodes -isohybrid-mbr isohdpfx.bin -b isolinux/isolinux.bin -c isolinux/boot.cat -boot-load-size 4 -boot-info-table -no-emul-boot -eltorito-alt-boot -e boot/grub/efi.img -no-emul-boot -isohybrid-gpt-basdat unpacked

wall позволит отправлять сообщения всем пользователям машины, часто они дублируются как уведомление в DE.