Александр Мастеров

1) Берём событийную библиотеку
2) Пишем в коде sleep(10);
3) ???
4) Пишем на тостер вопрос "а чёж оно блокирует то?!".

Это значит, что файл является символьной ссылкой.

vi /etc/php5/apache2/conf.d/20-intl.ini
И вписываете туда все, что написано по вашей ссылке.

В идеальном мире этим должно заниматься как минимум 2-3 человека, каждый по своей специализации: админ серверный, админ/спец по базам которые вы используете и т.д.

В реальном мире это как правило делает 1 или 1.5 человека.
И нет, таких гайдов нет.
Потому что это все настраивается отдельно, не говоря про то что настроить конкретную базу на нормальную работу или сам сервер вещи вообще разные и требуют разных знаний.
Все гуглится и настраивается отдельно по мере необходимости.
А так же еще выбрать как правило всегда надо между несколькими решениями для одной задачи, т.к. вариантов настройки/софта вагон и маленькая тележка.

третий вариант, потому что первые 2 уже были в проекте на ранних этапах разработки и плохо себя зарекомендовали.

Выкинуть фантом куда подальше и пользоваться nightmare

Фича PHP:
php.net/manual/ru/features.gc.refcounting-basics.p...

Решения:
1. Вместо объекта использовать массив.
2. Сериализация/Десериализация объекта.

class TestMemory
{
    protected $memory_start;
    protected $memory_filled_array;
    protected $memory_empty_array;
    protected $memory_deleted_array;

    protected $array;

    public function __construct()
    {
        $this->memory_start = 0;
        $this->memory_filled_array = 0;
        $this->memory_empty_array = 0;
        $this->memory_deleted_array = 0;
    }

    public function runTest()
    {
        $this->memory_start = memory_get_usage();
        $this->array = [];
        for($i = 0; $i < 10000; $i++)
        {
            $object = new stdClass();
            $object->property1 = $i;
            $object->property2 = 123;
            $object->property3 = str_repeat('Str', 100);

            $this->array[] = serialize($object);
            unset($object);
        }
        $this->memory_filled_array = memory_get_usage();
        for($i = 0; $i < 10000; $i++)
        {
            $object = unserialize($this->array[$i]);
            //$object; //do some
            unset($this->array[$i], $object);
        }
        $this->memory_empty_array = memory_get_usage();
        unset($this->array, $i);
        $this->memory_deleted_array = memory_get_usage();
    }

    public function printResult()
    {
        $result = '---Result---' . '<br>';
        foreach($this as $name => $value)
        {
            if($name !== 'array')   $result .= $name . ': ' . number_format($value / 1024 / 1024, 2) . 'MB.' . '<br>';
        }
        $result .= 'Memory leak: ' . ($this->memory_deleted_array - $this->memory_start) . 'Byte' . '<br>';
        echo $result;
    }
}

$test = new TestMemory();
for($i = 0; $i < 5; $i++)
{
    $test->runTest();
    $test->printResult();
}

Ряд моментов Вы уже сделали, но я все равно их опишу для полноты списка.

1. Создать отдельного пользователя и хороший пароль на sudo. Не использовать больше root напрямую. Совсем.

2. SSH. Отключаем метод аутентификации по паролю. Если Вам не нужны другие методы, то их тоже можно отключить, оставив только publickey. Отключаем возможность аутентификации root'ом. Включаем использование только 2й версии SSH протокола.

3. Устанавливаем Fail2Ban и настраиваем чтобы после нескольких неуспешных попыток подключения по SSH банило по IP на длительное время. Кол-во попыток и время бана можно тюнить в меру своей паранойи. У меня, например, банит на час после 2х неуспешных попыток.

4. Iptables. Действуем по принципу "запрещено все, что не разрешено". Запрещаем по умолчанию весь INPUT и FORWARD трафик снаружи. Открываем на INPUT'е 22 порт. В дальнейшем открываем порты/forwarding по мере необходимости. Если у нас предполагаются сервисы на соседних серверах нужные только для внутренней коммуникации (Memcached, Redis, и т.д.), то открываем для них порты только для определенных IP. Просто так торчать наружу для всех они не должны.

5. Настраиваем автоматические обновления apt-пакетов. Уровень security. То есть так, чтобы обновления безопасности накатывались автоматически, но при этом не выполнялись обновления со сменой мажорной версии (дабы обезопасить себя от "само сломалось").

6. Устанавливаем ntpd. Серверное время должно быть точным. Также временную зону сервера лучше всего установить в UTC.

7. TLS (не SSL) используем везде где можем. Через Let's Encrypt получаем бесплатные валидные сертификаты. В конфигах веб-серверов, mail-серверов, и других приложений торчащих наружу (в том числе и OpenVPN), запрещаем/убираем использование слабых шифров. Все ключи/параметры генерируем не менее 2048 бит. Самоподписные сертификаты подписываем с помощью SHA-256 (не SHA-1). Diffie-Hellman параметры (dh.pem) под каждый сервис лучше сгенерить отдельно. Проверяем TLS сервисов через Nmap. Минимальный grade должен быть A, не должно быть warning'ов.

8. Правильный менеджмент пользователей/групп. Приложения/сервисы не должны запускаться под root'ом (разве что они действительно этого требуют и иначе никак). Для каждого сервиса создается свой пользователь.

9. Если предполагается upload файлов через PHP (либо другие скриптовые языки), в директории, куда эти файлы загружаются (и которая доступна снаружи), должно быть жестко отключено любое выполнение скриптов/бинарников, что на уровне ОС (x права), что на уровне веб-сервера.

Это была база.
Дальше, в меру своей паранойи можно за'harden'ить сервер ещё следующими моментами:
- SELinux, chroot
- доступ к SSH только с определенных IP (нужно иметь 3-4 VPN-сервера под рукой)

UPD И да, все это помнить/настраивать руками каждый раз может быть запарно. Используйте Ansible и автоматизируйте процесс (там родные и YAML, Jinja2 и Python).

русскоязычные ресурсы по теме веба? Желательно те, которые обновляются достаточно часто

Проблема русскоязычных ресурсов в том, что 80-90% контента на них - это переводы. А переводы - это дело такое - их всегда меньше, чем оригинальных статей, и появляются они в большинстве своем с заметным опозданием. Так что не брезгуйте ходить на зарубежные сайты - например на smashingmagazine, css-tricks или uxplanet.

ходите почаще и побольше.
если таких как вы будет много, то рынок в ответ должен эволюционировать. т.к. работодатели должны будут оптимизировать этот процесс:
= тратить меньше времени
= если отказов много - то возможно поднимать зп

это похоже на вопрос "стоит ли ходить на свидания со многими девушками чтобы получше узнать их, если я пока не хочу жениться? или же я должен ходить на свидания только если готов?". зы подразумеваются свидания без интима (только знакомство), потому что с интимом это уже другой вопрос "этично ли пройти собеседование, устроится на работу, войти в доверие и за первые дни слить весь их код и исчезнуть...?".

человек впустую тратит время (что суть деньги) компании, которая реально ищет себе сотрудника

Во-первых, вы бы видели, как они, все до единого, сами прое... (извините) в сто раз больше времени, чем вы отнимете его у них.
Во-вторых, а, собственно, почему у вас "нет цели найти работу"? Что вы "тянете"? Если идете в компанию, будьте готовы к варианту - действительно туда устроиться если вы устроите друг друга, заодно и получаться будет гораздо лучше, у мошенников тоже лучше всего обманывает тот, кто способен поступить и честно, он как бы подсознательно играет роль честного, как в театре.

занесут в некий blacklist неблагонадежных соискателей

Обычно, если сторона не получает деньги от другой стороны, то и ничем не обязуется, это исходит еще от закона "О защите прав потребителей" и т.п.
Конечно, кто-то нарушает этот принцип, для этого не стоит раньше времени рассекречивать свои данные, а если уже собираются нарушить, то объяснить им всю ситуацию, можно и прямо сказать - может я и не прав, но я-то считаю так, а значит, если вы напишете плохой отзыв, то я вот возьму и напишу десяток хороших, получится что вы еще хуже сделаете, так как в итоге лжи станет еще больше, и перевес будет даже в мою пользу."

Если вы смогли принести свой ноутбук из дома, воткнуть его в произвольную розетку и получить доступ к ресурсам сети и выйти в интернет, то можете не бояться такого "админа" - это не админ.