ky0

Ничего не предвещало беды, просто Astra Linux. В поддержку, в поддержку.

Для удалённого рабочего стола не нужен VPN, RDP сам умеет нормально шифроваться.

Из внутренней сети делаете доступ либо по локальному доменному имени, либо по тому же имени, но резолвящемуся в локальный IP - и обрабатываемому другим конфигом веб-сервера, без mTLS.

Вы точно понимаете разницу между активным и пассивным режимом? Чтобы получить алерт даже когда заббикс-агент завис, нужно не режим менять, а настраивать триггеры с nodata().

Без обфускации - да, есть вероятность блокировки (и добавления хоста в бан). Амнезийный вариант работает.

Проверенный, актуальный и безотказный метод - это вывоз роутера в любую из цивилизованных стран.

Написать локейшен с регулярным выражением, срабатывающим только на урлы вида *.(jpg|png|что-там-ещё-у-вас). Внутрь локейшена засунуть try_files, который в какой-то момент будет дёргать PHP-скрипт.

Используйте для разных окружений разные .env файлы, например - а название окружения в CI переменной крутите.

 Дамп трафика снимите (желательно на обеих сторонах, чтобы потом сравнить) - из него станет понятно, кто там кого ждёт.

Примонтируйте каталог как volume - тогда бэкап можно будет делать даже при выключенном контейнере.

Локальные учётные записи не делаются, всё рулится централизованно через AD/LDAP. Если каким-то внешним подрядчикам нужен админский доступ к определённым хостам - им выдаётся сетевой доступ только к этим хостам и они добавляются в группу, дающую sudo только на этой группе хостов.

Локальные зеркала не делаются "определённых версий", и не выкачиваются целиком - это бессмысленно, т. к. PCI DSS, например, требует регулярного обновления пакетов. В каком-нибудь Нексусе настраивается проксирование официальных репозиториев с кэшированием пакетов - и вы получаете сразу все поддерживаемые версии и храните только те пакеты, которые используются.