hint000

[ $(( ( $(cat /sys/class/net/eth0/statistics/rx_bytes) - $(sleep 10; cat /sys/class/net/eth0/statistics/rx_bytes) )/-10 )) -lt 5000 ] && echo need restart

Это в CRON на каждую минуту, а echo need restart заменить на команду рестарта сервиса. 5000 (байт в секунду) заменить на желаемую величину.

Скрипт берёт значение системного счётчика принятых байтов, ждёт 10 секунд, снова берёт значение счётчика, вычитает одно из другого, затем делит разность на те самые 10 секунд (на -10, т.к. вычитали большее из меньшего), получается среднее значение за 10 секунд. Остаётся сравнить с пороговым значением.

После запуска бэкапов, пустит под старым паролем или выпадет в какую-то ошибку ?

Звучит, как после новогоднего бокала шампанского, :) но по смыслу предполагаю, что под "запуском бэкапов" подразумевается "восстановление из бэкапов". Если так, то пустит под старым паролем при доступности восстановленного AD DC; но если контроллер по какой-то причине будет недоступен, то зависит от состояния кэша логинов - можно представить ситуацию, что до бэкапа совершался логин уже с новым паролем и после восстановления при недоступности контроллера пустит локально по кэшу с новым паролем;

Это не плохо.

Это не плохо, если вы с подрядчиком не объединены через VPN, т.е. если подрядчик имеет столько же возможностей, как любой потенциальный злоумышленник. При этом ваша собственная инфраструктура не должна делать никаких поблажек при сканировании.

• Если дыры у вас нет, то и опасности нет.
  
• Если дыра есть, то вы только в плюсе, когда в результате сканирования узнаете о дыре и сможете её закрыть, тогда как злоумышленник мог воспользоваться дырой независимо от сканирования.
  
• Если дыра есть, но сканирование её не обнаружило, то, по крайней мере, ваша безопасность не ухудшилась.

Если же вы соединяете свою сеть с сетью подрядчика через VPN, то риск может вырасти, но это ещё зависит от того, насколько близко вы следуете принципу нулевого доверия.

Допустим, что всё ультрабюджетно и умных железок нет.
Сначала пытаемся уменьшить энтропию. Цвет оболочки кабелей может быть разным - светло-серый, тёмно-серый, и т.п. Проще выделить самую малочисленную группу кабелей другого цвета и искать такой цвет на другом конце. Записать группу, как "Иванов, Петров, Сидоров и ещё 2 ненайденных".

Продолжаем уменьшать энтропию. Смотрим маркировку на кабелях. Иногда можно обнаружить, что кабели хоть и одного цвета, но разных производителей - поступаем как и с разными цветами. Ещё некоторые кабели могут быть экранированные, а другие неэкранированнные. Дальше смотрим отметки метров или футов на обеих сторонах кабелей, записываем. Прикидываем расстояния до разных кабинетов, сверяем направление роста\уменьшения отметок. Получаем несколько догадок на уровне "наверняка", которые останется только проверить.

Поскольку задача не срочная, то используем ресурс времени: периодически смотрим на свитче, какие порты некоторое время назад были активны и стали неактивны или наоборот. Когда засекли изменение, то идём на разведку по кабинетам - кто из пользователей недавно выключил компьютер и ушел или наоборот недавно пришел и включил.

Если лень ходить по кабинетам, то аналогично смотрим логи на DHCP-сервере: минуту назад загорелся активным N-ый порт на свитче, а какой адрес вскоре после этого выдал DHCP? Потом проверяем, а не ложная ли это версия, если этот адрес выдавался не только минуту назад, но и 5 минут назад или 2 часа назад, то мимо, случайное совпадение.

Если сотрудники не приходят-уходят в середине дня, то приходить на работу первым и караулить у свитча; уходить последним - тоже караулить. Не удалось выяснить сегодня - выясним завтра. Хоть один кабель за день идентифицировали - день прожит не зря. ;)