Дмитрий

доп места под свитч + розетки в слаботочном щите нет.

Потребители все в разных комнатах? Если какие-то потребители рядом, то можно тупой свитч поставить возле этих потребителей.

Функционально такой вирус создать конечно же можно, мало того, на linux все вышеописанное даже легче реализовать, за небольшим исключением.

В linux по умолчанию пользователь менее привилегирован чем в windows (особенно когда в windows по умолчанию запрос на повышение привилегий не выдается в большинстве случаев). Т.е. проблема не в создании приложения с нужным функционалом, а в заражении, т.е. его запуске.

Пример путей проникновения - win-way пути запуска их как скачал-запустил, например .AppImage образ, изначально в нем должна поддерживаться песочница, но большинство примитивных приложений что я смотрел типа чат для ИИ (chatbox тот же) - требуют для запуска необоснованное отключение песочницы.

Или к примеру смотришь, а приложение не запускается, требует suid флаг на бинарник,.. (тот же proton если запускать из lutris) и в лучшем случае ты нагуглишь инстуркции но никак не гарантии что после этого в систему не будет установлен троян.

Запуск приложений что в windows что в linux это вопрос ДОВЕРИЯ их разработчикам. Отличный пример rustdesk, опенсорс, но это приложение столько телеметрии отправляет (а в исходниках бинарники забиты) а еще на глюке начинает нагружать одно ядро процессора тупо в цикле ps запускать. Есть песочницы по типу snap/flatpak а так же штатно lxc, но интерфейс для их использования не для обывателя (нужно в консоли писать команды, с неудобной документацией по настройке прав доступа и т.п.) поэтому пока это не изменится, linux будет таким же дырявым с точки зрения простоты заражения как и windows.

Приемлемого качества можно добиться и со свистком с алика, только нужно подключать не композитный сигнал тюльпанами, а компонентный через S-Video. Видеомагнитофон желательно брать S-VHS с хорошей системой трекинга, захватывать в какой-нибудь формат со сжатием без потерь, для PAL разрешение 768х576i (чересстрочный). Дальше всё улучшение достигается различными фильтрами постпроцессинга, их великое множество: стабилизация строк, интерполяция выбитых строк, анти-ghosting, шумодавы итд итп (https://forum.videohelp.com/forums/41-Restoration). После достижения нужного результата можно сделать деинтерлейс (перевести в прогрессивное видео), можно с удвоением частоты кадров, и сохранить в какой-нибудь нормальный формат со сжатием h264/265.

Да как обычно...

Схема сети, расположение серверов, применяемое средство резервного копирования, доступ к файволлам/роутерам, сетевая документация - если конечно она есть :)

Все зависит от того, склько там юзеров, как построена сеть, был ли раньше ИБ-шник или Вы приходите на "пустое место". Многое также зависит от умения контролировать работу админов. Фактически ИБ-шник, когда он в единственном лице - это этакий "супер-админ", у него прав не меньше, чем у админов, а иногда и поболее будет.

Что там с виртуализацией, есть-нет, что используется, кто отвечает.
Почта, сайт, доменные имена - где, как , кто отвечает.
Собственный CA - есть, нет, нужен или нет, кто отвечает
Доступ в Интернет - контролируется или нет, нужно корнтролировать или нет, если есть , кто отвечает
СМП - есть, нет, нужен или нет. Внедрение СМП - штука весьма недешевая, так что инициатива должна идти сверху.
Грамотность пользователей в отношении фишинга в почте и прочих приемов (но обычно прилетает в почту)
Наличие и актуальность политики безопасности (она есть далеко не всегда, да и не всегда нужна на самом деле)
Удаленный доступ - есть, нет, как сделано
Лицензирование софта, импортозамещение, политические моменты - если хоть как раком-боком-попереком к КИИ, неизбежно столкнетесь

С админами не ссориться, особенно если админских знаний не хватает для контроля их работы.

Вы хотите чтобы Васим сеть спроектировали?
Ответ на ваш вопрос зависит от многих параметров.Простой ответ, это вам нужен коммутатор с портами 10gb, сетевые карты с портами 10gb в сервере и Synology и провода между ними, скорее всего оптика или DAC-кабели, в зависимости от расстояния между устройствами. Теоретически можно подключить сервер к Synology и на прямую.Порты 10GBASE-T ( Rj45 ) не советую.

Открываешь какой-нибудь бенчмарк (цены там врут), на странице single thread performance, выписываешь цены на доступные тебе в магазине варианты, добавляешь колонку с формулой цена/производительность (это будет стоимость каждой единицы производительности), и рисуешь график стоимость и цена/производительность или производительность к цена за производительность... тебе нужны решения с самой низкой стоимости производительности и близкие к твоему бюджету. На графике будет видно выбросы высокой цены того что брать не имеет смысла.

Будь осторожен с бенчмарками процессоров с энергоэффективными ядрами, ведь те кто тестировали их могли отключить или еще как тюнили машину, исключительно на single thread задачу, ценой multithread, а в реальной эксплуатации эти ядра могут давать выбросы вниз.

Из дешевых рекомендую какой нибудь AMD Ryzen 5 8500G (18.р.) - холодный, достаточно производительный, мало ядер (играм не надо, да домашнему пользователю и не нужно больше) или Intel Core i5-12600KF (20т.р.) больше ядер, горячее...

upd. https://pastebin.com/nVi3wfZF из прайса dns на сегодня и бенчмарк

У вас асимметричная маршрутизация - принтер идет к 172.31.31.152 через микротик, а 172.31.31.152 идет к принтеру непосредственно с WAN кинетика. Поэтому микротик видит какие-то левые SYN,ACK. Левые потому, что он не видел изначального SYN и, следовательно, SYN,ACKи не принадлежат к какому либо существующему соединению и они invalid

Кроме IP адреса машины, вам еще нужен порт по которому вы подключаетесь. Ставите сетевые утилиты для вашей ОС и смотрите на каком именно IP адресе и порту запущен веб-сервер, если вообще запущен.
Веб-сервер запущен должен быть либо на IP 0.0.0.0 - что значит все сетевые адаптеры, либо на IP конкретного сетевого адаптера, который подключён в виртуалбоксе. А вот если он запущен на IP адресе 127.0.0.1 - это значит, что снаружи он недоступен и надо указать верный адрес.
Так же в фаерволле должны быть открыты все требуемые порты для вашего сервиса и веб-сервера, если он установлен.

Ваше приложение требует наличия графики (X server). По умолчанию, ssh это не умеет. Можно запустить ssh -X, что бы прокидыаать X, но у Вас на локальном компьютере все равно должен быть запущен X.

Посмотрите в сторону VNC-сервер.

Самый адекватный способ использования сетевых устройств:
Оставлять наружу только SSH, а через него пробрасывать локально необходимые порты хоть с шифрованием, хоть без него.