Если у вас много серверов и специфические приложения, готовьтесь к тому, что без доступа на сервер, некоторые довольно быстрые задачи превращаются в многочасовое пинание "а выполни вот это на сервере", "а вот тебе результат".
Здесь проще выдать доступ + логировать все команды. По исполнению задачи на мониторинг – просто отобрать доступ.
Случай из реальной жизни, так сказать (мы действительно у себя так делаем).
Админы что, не могут поставить простой софт? В заббикс агенте нет ничего специфического, все параметры описаны в вики, если у вас есть подозрения на что-то.
Будет и есть.
Во-первых, EnableRemoteCommands=0 делаем.
Во-вторых, проверяем все UserParameter'ы на предмет выполнения там странных скриптов/команд.
В-третьих, если заббиксу выдаётся sudo на какие-то проверки – обязательно проверять, что там выдаётся:
– нет ли каких-то "общих" команд? Типа, , а после звёздочки он напишет и привет.
– нет ли sudo на какие-нибудь самописные скрипты? Выдавайте sudo только на неизменные бинари (ну или уж прям системные скрипты, до которых просто так не добраться). Если выдали доступ на запуск скрипта из /tmp/ с правами 777, ну, вот вам и анти-бест-практис.

Всё, конечно, зависит от вашего окружения. Если у вас есть менеджер конфигурации, где всё быстро/просто мэйнтейнится, то товарищи админы должны сами знать флоу. По сути, специалист мониторинга тут приравнивается к девелоперу, которому дают доступ на сервер ради какого-нибудь дебага.
Кем? Клиентом? Или вашим спецом по мониторингу? Непонятно, что тут имеется в виду.