ky0

Без обфускации - да, есть вероятность блокировки (и добавления хоста в бан). Амнезийный вариант работает.

Проверенный, актуальный и безотказный метод - это вывоз роутера в любую из цивилизованных стран.

Написать локейшен с регулярным выражением, срабатывающим только на урлы вида *.(jpg|png|что-там-ещё-у-вас). Внутрь локейшена засунуть try_files, который в какой-то момент будет дёргать PHP-скрипт.

Используйте для разных окружений разные .env файлы, например - а название окружения в CI переменной крутите.

 Дамп трафика снимите (желательно на обеих сторонах, чтобы потом сравнить) - из него станет понятно, кто там кого ждёт.

Примонтируйте каталог как volume - тогда бэкап можно будет делать даже при выключенном контейнере.

Локальные учётные записи не делаются, всё рулится централизованно через AD/LDAP. Если каким-то внешним подрядчикам нужен админский доступ к определённым хостам - им выдаётся сетевой доступ только к этим хостам и они добавляются в группу, дающую sudo только на этой группе хостов.

Локальные зеркала не делаются "определённых версий", и не выкачиваются целиком - это бессмысленно, т. к. PCI DSS, например, требует регулярного обновления пакетов. В каком-нибудь Нексусе настраивается проксирование официальных репозиториев с кэшированием пакетов - и вы получаете сразу все поддерживаемые версии и храните только те пакеты, которые используются.

В условиях острой нехватки памяти (2 ГБ - это не тот случай) можно отказаться от агента - а данные отправлять zabbix_sender'ом.

Всё уже придумано за вас:
https://self-service-password.readthedocs.io/en/stable/

Я каждый день в Алматы молюсь, чтобы хоть как-то работало - а вам без потерь пакетов и с нормальной картинкой подавай. Надеяться на стабильность пропускной способности между Казахстаном и Арменией, имхо, не стоит - особенно если трафик едет через РФ.

Добавить сертификат в доверенные.

Вам нужен элемент данных system.uptime. Но это будет работать только с агентом.

Что на конечных хостах - не так важно. Важны настройки на маршрутизаторе. Если новые устройства будут вне прописанного на старых хостах диапазона - просто трафик к ним поедет через шлюз, а не напрямую.

Установите atop в режиме хранения истории. С помощью него найдёте виновника - и можно будет диагностировать дальше более узко.

"Практическую археологию" в тэги. Просто обновитесь.