brutal_lobster

Лучше и проще - lvm snapshot + rsync via ssh.
Но можно посмотреть на:
www.drbd.org
schoebel.github.io/mars

1. На чем писать разницы нет - используйте то, что знаете.
2. Зачем свои костыли? Есть же уже готовые orchestration и cm решения.
3. Какой смысл в веб-интерфейсе для выполнения команд по ssh? Может для этого лучше и использовать ssh?

www.freedesktop.org/software/systemd/man/systemd.s...

Specifically, redirection using "<", "<<", ">", and ">>", pipes using "|", running programs in the background using "&", and other elements of shell syntax are not supported.

В iptables разрешите только то, что было обработано в ipsec.
ipset.netfilter.org/iptables-extensions.man.html#lbBQ

https://wiki.debian.org/Permissions

Первое о чем нужно подумать - это о процессах внедрения и сопровождения,а не о выборе дистрибутива.
Подумайте о том, как вы будете их устанавливать, обновлять, решать проблемы пользователей.
Как вы будете интегрировать с текущей инфраструктурой и как это проще сделать.

Проще поднять foreman/katello/pulp (автоматический деплой и централизованная настройка рабочих станций), настроить freeipa (централизованная аутентификация а-ля active directory), мониторинг/логи по вкусу.
После чего одним кликом установить рабочие станции с нужным софтом.

А выбор дистрибутива - практически не важен. Софт почти одинаковый. В случае rpm-based centos/fedora у вас больше вариантов централизованного управления (katello/pulp).
Рекомендую ставить fedora! ;)

Линуксы - satellite/spacewalk/foreman
Винды - waik/mdt

upd. cobbler управляет же только дистрибутивами.
Либо вы подготаливаете дистрибутив с нужным ПО, либо запускаете kickstart/preseed с нужными опциями во время деплоя.

ls выполняете на md2?
Посмотрите на чем именно виснет, логи и прочее

strace ls
dmesg
cat /proc/mdstat
mdadm --detail /dev/md2

https://help.ubuntu.com/community/DataRecovery

Лучше уж site2site на границе. Так хотя бы при отказе rodc всё продолжит работу.

Если не охота заморачиваться со шлюзами в филиалах, то можно использовать RRAS

Помимо модуля apt - можете же поменять название своего пакета :)
Например - nginx-rtmp-orgname ;)

При открытии консоли браузер подключается напрямую к ноде esxi. Возможно между вам и конкретной нодой как раз и режется трафик.

Также вы можете подключиться к консоли с помощью workstation.

Почитайте туториал по iptables - а именно по порядку и месту применения правил/цепочек. Там не сложно - сразу поймете процесс )
Мне нравится: www.amazon.com/Linux-iptables-Pocket-Reference-Gre...
Ну и начните с чего попроще - поиграйтесь, пооткрывайте/закрывайте порты, таблицу нат пощупайте.

Дефолтная политика drop - это хорошо, но можно случайно себя закрыть) Ставьте лучше в конец цепочек drop all.
А для проброса порта вам нужно не только изменить адрес назначения (-j DNAT), но и разрешить форвардинг нужных пакетов.

А что вы пишите? Так ли нужно руками все обрабатывать?
По сути вопроса посмотрите на lwn.net/images/pdf/LDD3/ch17.pdf

stackoverflow.com/questions/13274786/how-to-share-...

man 5 shadow
man 3 crypt

If salt is a character string starting with the characters
"$id$" followed by a string terminated by "$":

$id$salt$encrypted

then instead of using the DES machine, id identifies the
encryption method used and this then determines how the rest
of the password string is interpreted. The following values
of id are supported:

ID | Method
─────────────────────────────────────────────────────────
1 | MD5
2a | Blowfish (not in mainline glibc; added in some
| Linux distributions)
5 | SHA-256 (since glibc 2.7)
6 | SHA-512 (since glibc 2.7)

So $5$salt$encrypted is an SHA-256 encoded password and
$6$salt$encrypted is an SHA-512 encoded one.