Сисадміну воно ні до чого. Взагалі сисадмін в ідеалі не має знати, чим займаються співробітники, і налаштовувати шифрування так, щоб не мати навіть такої можливості.
Моніторити сайти - будь-яким нормальним файрволом на шлюзі.
Якщо вже так хочеться підглядати за співробітниками - погугліть про VNC, рішень багато різних. Але, ще раз, це не завдання сисадміна, сисадміну для віддаленого доступу ssh потрібен.

Я колись на першій роботі NetXMS налаштовував, але воно не для сайтів, а для загального моніторингу. Для сайтів можна Wireshark використовувати, але треба подбати, щоб усі мережеві пакети через адмінський комп або сервер проходили.

koala
Зате дуже пізнавально. Можна багато цікавого дізнатися, навіть якщо не дивитися які саме сайти відвідують колеги, та що пишуть в месенджерах.

То https не допомогає, якщо юзети ці тулзи? Тоді https так само небезпечний і у відкритих мережах кафе напр.

Lets Encrypt?

Let's Encrypt тут ні до чого.
Якщо на вашому комп'ютері нема кореневого сертифіката, який засвідчує сертифікат сайту, то ви отримаєте повідомлення про небезпечне з'єднання. Як працює фільтрація HTTPS: при спробі встановити зв'язок із сайтом (наприклад, Facebook.com) по HTTPS, зв'язок відкриває файрвол - окремо з вами і видає власний підробний сертифікат Facebook.com, окремо із самим Facebook.com (і отримує та перевіряє його сертифікат); при цьому обидва зв'язки шифруються - але окремо один від одного. Якщо ваш комп'ютер визнає цей підробний сертифікат (тобто якщо у вас встановлений кореневий сертифікат), то ви будете спокійно спілкуватися через HTTPS, хіба що зможете побачити, що цей сертифікат видано чимось невідомим, якщо залізете в налаштування. Звісно, якщо на шляху до Facebook буде ще один файрвол, він зможе провернути той самий фокус - але лише якщо перший визнає його підробний сертифікат.
Let's Encrypt видає безкоштовні сертифікати власникам доменів - там треба лише довести, що ви є власником. Очевидно, що ці сертифікати не можуть використовуватися для фільтрації - ви не зможете довести, що є власником Facebook.com.

Є гарна методика. Не давати адмінки чи рута. Заборонити запуск всього крім встановленого (тобто застосувати білі списки та шляхи для встановлення за якими треба права адміна чи рута). Якщо вінда то всіх в домен, якщо маки там є аналогічна цяцька якщо придбати їх сервак, якщо лінукс чи фряха то там доведеться збирати з кубиків лего те саме і вийде не гірше. DNS сервак на юніксі і матимеш логи хто куди шастав. Все роздаємо по dhcp від шлюза до серверу часу. Час синхронізуємо всіх видаючи адресу свого NTP сервака. Якщо треба відслідкувати неслухняних то ставимо перенаправлення по домену за затичку при виклику якої кидаємо в лог запис. Також на шлюзі можно зробити "маячки" щоб писало в лог коли пакети йдуть на певні порти чи адреси.