Алексей Пьянов

Если для написания тз у вас не хватает компетенций, то для начала сделайте юзерстори и/или майндмап. Распишите все возможные действия пользователя + желательно самые простые картинки как это +- выглядит и как работает. Во первых оцEните объем работ, во вторых откроете для себя кучу нюансов различного характера, в третьих с этим уже можно идти к более-менее адекватной команде за ПРИМЕРНЫМ ценником.

Более простой путь - тыкнуть пальцем в готовое решение и сказать "хочу такое". Минус - скорее всего как при реализации так и при приеме вы можете упустить часть функционала (что впрочем может случиться и в первом варианте), так же, в любом случае административная часть чужого проекта вам будет недоступна и ее нужно будет описывать самому.

Ну и третий путь, скажем так, совсем кривая дорожка - взять готовые решения, кои всегда существуют для популярных задач. Плюсы - дешево и быстро. Минус - скорее всего качество околоплинтусное.

Программисты тут самое простое, ищешь специалиста который способен организовать их работу, он тебе все и расскажет. Основная проблема тут куча выплат, вот реши сначала эту проблему с юристами и бухгалтерией, это не так просто как кажется на первый взгляд.

Оценить можно не идею. Оценить можно ТЗ.
Если ТЗ подробное, достаточное чтобы по нему взять и работать, то оценить сможет любой разработчик, который имеет опыт в фрилансе (имеется в виду разработчик, который умеет посчитать работу в часах, потому что те, кто работает просто на зарплату, и задачи ему дают сверху, обычно не сможет быстро оценить).

Но проблема в том, что подробного ТЗ у вас скорее всего и нет, потому что чтобы создать ТЗ для разработки, нужно быть технически грамотным в разработке.
Поэтому если задача большая, то наймите того, кто сделает вам ТЗ и сможет оценить работу. И да, это стоит денег, как и в любой другой профессии.

Вы вот можете предположить сколько стоит дом построить. Но вряд ли сходу скажете, сколько берет архитектор, который этот дом просчитывает, а архитектор собственно и делает основную часть ТЗ, по которой уже можно и стоимость материалов рассчитать и количество работы прикинуть.

Короче наймите специалиста для составления ТЗ и ориентировочной стоимости. Может быть этот же специалист вам потом и задачу выполнит. А может посчитаете, что слишком дорого.

Я в AWS использую https://aws.amazon.com/blogs/apn/amazon-s3-malware... Amazon S3 Malware Scanning Using Trend Micro Cloud One

Сохраняя сразу в s3 хранилище, увеличиваешь стоимость в ~два раза (каждый файл будет загружен и выгружен, т.е. дважды), а у амазона к примеру стоимость сетевого трафика грустная. И да, проверить по кусочкам файл не получится, антивирусу файл нужен целиком. В принципе на сколько я знаю есть s3fs-fuse - файловая система где файлы грузятся с s3 прозрачно, возможно, если антивирус не проверяет все типы файлов, а проверяемый является архивом, то это может дать какой то бонус, но нужно еще удостовериться что эта файловая система так умеет... да и не стоит так усложнять все.

Оперативка дороже диска, примерно на порядок (особенно с ростом размера файлов), с другой стороны до сотен мегабайт хватит держать файл в оперативке. Не вижу особой проблемы складывать файл на диск, проверять его и только после этого заливать в хранилище. Поэтому складывай на диск, проверяй, можешь параллельно запустить сохранение в s3 (потом прервешь или удалишь загруженное, если обнаружишь вирус).

docker не про безопасность а про изоляцию (для организации специфический версий библиотек), он не нужен именно для проверки файла на вирусы

Пока пришли к теории, что 5-6 секунд это много для получения ответа

Если нет никакой индикации, что что-то происходит (ничего не крутится, не вертится, не мигает, не обновляется) - я считаю, что какая-то фигня, закрываю вкладку и открываю заново.

Сайт еще не закончил предыдущий запрос, а ему уже прилетел новый. Старый воркер еще ждет, удерживает память под данные (которые уже никому не нужны), апач задействует новый воркер - вот Вам и сотни воркеров, которые выедают всю память...

Первый запрос = принимаем на сервере номер телефона, генерируем токен (случайная строка длиной, предположим, 64 символа - цифры, буквы большие и маленькие), отправляем его на клиент. Генерируем код доступа, отправляем его смской на телефон. В зависимости от логики можем и не отправлять (если допустим у нас метод для логина а такого юзера еще нет (он еще не зарегистрирован)).

Второй запрос = отправляем с клиента токен (тот 64 символьный полученный от сервера) и строку с кодом из смс. Проверяем на сервере токен и код из смс, если все ок - пускаем в аккаунт.

Примечания:
1) токены и сами попытки входа должны жить определенное количество времени, предположим 5 минут.
2) попытки ввода кода (неправильные вводы) должны быть ограничены разумным числом (ну допустим 5 попыток)
3) если можно то лучше код сделать длиннее - хотя бы 6 цифр, а лучше 8 и более.
4) попытки входа в аккаунт можно ограничить, но тогда будет можно абузить эту "фичу" и блокировать вход чувакам, тут выбираем меньшее из зол исходя из бизнес требований
5) можно экономить на смсках и доставлять код в последних цифрах номера / голосовой озвучкой, отправлять в вк, ватсап, телеграм, вайбер

500 айкью примечания для кое какой защиты от слива бюджета:
1) можно юзать капчу (можно не всегда а когда начинается аномалия по отправке кодов - всплеск количества отправок)
2) как уже и говорил разделение входа и регистрации
3) ставим бот защиту от какого нибудь сервиса по защите от ддос/бот атак
4) иногда можно не отправить код а отправить клиенту респонс что код отправлен, если клиент вводит код - скорее всего это атака. человек же запросит код повторно (потому что он тупо ему не пришел)
5) иногда можно отправить код не сразу а через предположим, 30 секунд - если ввели код раньше - значит что-то не так

Почитать "Запуск cron внутри Docker-контейнера" и разочароваться.

Почитать про "supercronic" воодушевиться и добавить supercronic в образ с backend, затем из образа backend запустить контейнер, собственно, с backend и из этого же образа запустить supercronic в соседнем контейнере, в котором и будет выполняться целевая команда по расписанию заданному в crontab

Можно ли из под Windows перенести

Не надо из под Windows. Надо из самого Debian.
1.1. через sfdisk выгрузить дамп таблицы разделов HDD в текстовый файл;
1.2. поправить размеры разделов (если несколько разделов ext4, то с учетом их заполненности), чтобы суммарно влезло на 120 ГБ (на самом деле нужно через fdisk -l проверить точный размер SSD в мегабайтах; возможно, там чуть меньше, чем 120 ГБ);
1.3. через sfdisk залить исправленную таблицу разделов на SSD;
2. сделать обычное пофайловое копирование ext4-разделов с HDD на SSD, а лучше потоковое копирование через tar (dd не годится, потому что размеры разделов уменьшились);
3. скопировать через dd первый сектор диска, в который обычно ставится grub;
4. если есть раздел EFI, то его целиком скопировать через dd;
5. PROFIT
Когда у вас Linux, то для такого переноса даже не требуется cпециальное ПО, всё можно сделать стандартными средствами Linux.

P.S. Не помешает перед копированием файлов перемонтировать файловые системы на HDD в режиме read-only.

vreitech pfg21 Adamos Всем спасибо. Проблема оказалось в том, что докер не удалил остановленные контейнеры

Магическая команда (из под рута), чистящая все логи всех контейнеров docker

truncate -s 0 /var/lib/docker/containers/*/*-json.log

А после этого изучать, как ограничить объем логов docker в /etc/docker/daemon.json, который по умолчанию не лимитирован.