Как для Node.js защитить process.env от чтения сторонними npm-пакетами?

предположим в зависимости проекта попал зловредный скрипт evil.js

Свой прокси-репозиторий внешних пакетов + приватный репо для своего кода. Жестко фиксировать версии. Хранить package.lock в репозитории. Эти действия уже заметно уменьшают вероятность такого сценария. Ну и плюс серверы репозиториев умеют сканировать свои пакеты на наличие известных уязвимостей.
Ну и в контейнере свой код запускать, за основу контейнера опять же брать свой образ, а не какой-нить публичный ubuntu, и все это в приватном docker registry хранить.

Какой НОРМАЛЬНЫЙ дистрибутив поставить с самыми свежими программами?

Чтобы с Арчем не было проблем - его надо изучить, и это будут глубокие знания... Арча, и только Арча.

Эт с убунтой так. А арч - это дистрибутив с systemd и, собственно, всё. Знаешь systemd - значит знаешь всё, что нужно для арча. А вот в убунте еще своих специфичных костылей понапихано много, что читаешь спеки, делаешь - у всех работает, в убунте не работает. В общем странно видеть нежелание учить специфичный дистрибутив и в соседнем предложении совет про убунту.

Какой наиболее стабильный дистрибутив для Docker на текущий момент?

Вариант "лучше" зависит от того, что есть это самое "лучше". Мне, допустим, не нужно то, что docker надстраивает над containerd, и я использую последний. А есть еще более "базовый" crio например.

Какой наиболее стабильный дистрибутив для Docker на текущий момент?

Речь чисто о докере, или о kubernetes тоже? Потому как именно под докер убунту, допустим, хороший вариант, т.к. разработчики докера на ней и тестируют в первую очередь под ней всё, и имхо это неплохой аргумент "за". А с другой стороны софт есть софт, и если есть под какой-то дистрибутив готовые практики и понимание "что где лежит", то почему бы его и не использовать?

Какой НОРМАЛЬНЫЙ дистрибутив поставить с самыми свежими программами?

Adamos, нет, не означает. Если вы не видите разницу между, к примеру, "сгорел свитч, часть инфраструктуры не работает, нужно что-то делать" и "сгорел свитч, Иван идет на склад, находящийся по адресу такому-то. это занимает 10 минут, берет там на полке такой-то свитч, подключает его в течение 15 минут вместо сгоревшего (местонахождение которого тоже точно известно сразу же), еще 5 минут на то, чтобы взять настройки такие-то оттуда-то и залить их, используя такие-то утилиты, итого простой вот этих вот конкретных сервисов занимает столько то минут и не больше" то обсуждать тут дальше нечего.

Какой НОРМАЛЬНЫЙ дистрибутив поставить с самыми свежими программами?

Adamos, некорректный пример. Если б другие дистрибутивы вообще никогда не надо было обновлять - был бы корректный. Но без обновлений не бывает. А Arch приучает считать обновления не "ай-ой-страшно", а рутинным делом. Рутинным, обычным, отработанным. Собственно все операции, чтобы не боятся их, должны быть рутинными и отработанными: умирание любого компонента в инфраструктуре (кабель, железка, сервер, свитч, ИБП и т.д.), отключение интернета, добавление чего-то нового...

Какой НОРМАЛЬНЫЙ дистрибутив поставить с самыми свежими программами?

При прямых руках Arch очень даже стабилен, при том что последние программы в нем. Главное обновляться хотя бы через день, чтобы обновления прилетали не кучей, а по чуть-чуть за раз, и ежели вдруг что - было сразу понятно что делать. В таком режиме арч живет годами не напрягая.

Почему LDAP-пользователи Owncloud начали появляться только после входа?

А зачем? Просто у меня оно только так (появляется после логина) и работает давно, и нет никаких проблем и ошибок.

Как заставить Ubuntu видеть все потоки процессора?

Сергей Попов, ты ж прекрасно видишь, что в загрузке в recovery режиме всё работает. Ну так и посмотри, чем же этот режим отличается от обычного, там ж не так много отличий! Перебери каждое, найди то, которое чинит, выясни почему оно чинит и собственно внеси его и в обычный режим тоже. А то и решение нормальное под рукой, в recovery загрузке, а вместо него acpi выключаешь зачем-то, и считаешь это оптимальным.

Как настроить мультикластер Ceph?

может работать только в l2 сети.

туннели не вчера изобрели, L2 можно поверх чего угодно сделать, так что это не преграда.

а дать отказоустойчивость.

Её дает CEPH сам по себе, своей архитектурой. Наворачивать что-то еще над ним - только добавит проблем в случае аварии, следовательно - вы потратите время на то, чтобы сделать себе будущему хуже.

Как построить инфраструктуру большого проекта?

никому не нужны, нужны реальные и не за конские деньги

Вы не поняли, вы покупаете 1000 иопс и они для вас реальны, вы их видите и пользуете. А насколько ниже там инфраструктура оптимальна или нет, это никак не волнует вас как клиента облака. Вы отдаете свои деньги, требуете за них какие-то услуги. Почему вас волнует эффективность инфраструктуры облака, если вы её не видите и никогда не увидите?

Как построить инфраструктуру большого проекта?

sim3x,

И насколько падает производительность у большой БД при размещении в облаке

А какая разница? В облаке ж покупаешь производительность, с которой будешь работать. Купил 1000 условных IOPS - пользуешся. А под ними там хоть всё на коленке может быть сделано, и поднятно на железе с 1000000 IOPS и диким оверхедом - это ж не проблема пользователя.

Как настроить мультикластер Ceph?

Xyp, какой кейс вы видите, чтобы на одном и том же железе софтово кластер умер, и при этом умер так, чтобы и его не поднять было, но копия - была и поднялась? От смерти железа ведь CEPH сам по себе защищен (ну в тех пределах, в каких сам настроишь), а софтовые проблемы бывают нарочные (залил кривой конфиг, или допустим обновился, не протестировав заранее) и случайные (баг всплыл), от первых защищает тестовая среда, а от второго защиты нет.

Какую серверную ОС выбрать для запуска docker контейнеров?

Его ж купил RedHat и переделывает под себя, так что проект жив.

Как создать RAID1 без потери данных?

"Если материнка поддерживает" - это софтовый рейд. То, что делается биосом материнки - софтовый рейд. И если софтовый рейд, сделанный операционкой, увидит эта же операционка на другом любом компе, и можно будет данные вытащить, то вот для восстановления софт-рейда, сделанного в биос, придется искать точно такую же материнку, если повезет - на таком же чипсете хотя бы. Так что по надежности рейд из биоса - самое унылое, чуть лучше аппаратные рейды на дешевых контроллерах, еще лучше - на Adaptec/LSI серверных, и ничуть не хуже, а где-то и лучше (с точки зрения восстановления данных) - линуксовый mdadm.

Как объединить оперативную память?

DdarkX, насколько большим количеством памяти - раз, что именно за задача - два? Чаще всего задачу удается распараллелить, и использовать несколько менее мощных (читай: дешевых) машин.

Как объединить оперативную память?

DdarkX, ну выдать виртуалке 1Тб можно на любом компе - из swap'а добрать недостающую память ;) А если серьезно, то в двухпроцессорную мать воткнуть 1,5Тб оперативки сейчас не проблема, можно и с удвоенным числом слотов найти такие. А под 4хпроцессорные и более 3+ Тб не проблема.

Как перенаправить весь вывод скрипта в файл?

Если он запускается в докере - так не проще ли лог в stdout оставить, а снаружи уже через docker logs или как-то еще его подхватывать и обрабатывать как надо? Зачем внутри контейнера городить лог?

Интегрированная карта для работы с графикой - это шутка?

Разумеется, интеловское встроенное видео годится точно также, как и видео от Nvidia или AMD. Я отвечал на "Видеокарта нужна исключительно для работы с 3D графикой", восприняв эту фразу как "Если вы работаете с 2D графикой - то вся работа делается на ЦПУ, видеокарта не задействуется". Вот на это я и ответил - в Photoshop, например, задействуется. Но - действительно мало где. Поэтому задействовать пусть даже встроенное видео все равно лишним не будет.

Как максимально быстро перенести бд mysql (MariaDB) на другой сервер?

Если есть возможность ненадолго остановить сервер - что мешает скопировать /var/lib/mysql и подсунуть его новому серверу, и посмотреть, что будет? Ну т.е. "в принципе" всё должно быть ок, потому что с более старой на более новую уходят данные (т.е. если б просто взяли 1 комп, и обновили там марию - получился б ровно такой же эффект, так что можно просто посмотреть мануал по обновлению с 10.0 на 10.1), но разумеется без непосредственной проверке на ваших версиях софта нельзя ничего гарантировать, надо брать и проверять.