Алексей Черемисин

А используйте LXC контейнеры (про сетевую загрузку по PXE вам написали уже). Контейнеры не требуют виртуализации, а профита как от полноценных виртуалок.

Открою страшную военную тайну, в линуксе, да и в остальных файловых системах принято записывать время последнего обращения к файлу (каталоги и т.д.), называется она atime (access time). Эту фичу можно отрубить в fstab, прописав в опциях монтирования noatime. Есть еще опция nodiratime, но она автоматом включается при noatime.

А если вообще не хотите ничего писать на диск, то используйте или overlayfs или aufs, а корневой раздел монтируйте в readonly. Для ubuntu можно здесь почитать - https://help.ubuntu.com/community/aufsRootFileSyst...

PS. До кучи - www.digitalinternals.com/unix/linux-io-performance...

Если сервер имеет BMC, а должен по идее, иначе какой он сервер. То попросить провайдера подключить его к сети по vpn или еще как. Тогда и провайдера просить не нужно, и можно посмотреть что в консоли происходит. А происходить может обыкновенный кернел-трап, дамп которого можно увидеть только с консоли.
Ну и если у нас недосервер без BMC, то при очередном фейле попросить фото консоли. Ну и логи удаленно писать и статистику собирать через collectd + influxdb + grafana.
Сервера перестаю на ssh отвечать из-за аппаратных проблем обычно. Ны а сами проблемы, от дисков до памяти в промежутках адаптеры, процессоры, далее везде.
Ах, еще может быть кернел дидлок, но это только в консоли смотреть. А еще может и драйвер какой кривить...
Для удаленных логов и статистики арендуйте долларов за 5 виртуалку где нибудь на DO.

Э... Извиняюсь, если ломают, то дело, конечно не в обновлениях. А в... ну... э... руках.

Чтобы не ломали, точнее, ломали, но безболезненно, используйте виртуалки/контейнеры, файерволы, прокси... Ну и накатывайте обновления по мере их выхода.

При взломе политика такая - восстановить последнее в режиме read-only, вручную накатить обновления.

Ну и перейдите на что-то более безопасное, руби-на-рельсах там или джанго, или яву что-ли.

Ну а вебмин вам уже посоветовали. Также есть CPanel и прочие радости.

И да, с контейнерами/виртуалками сайт лечить одно удовольствие.

Как вариант предлагаю:
Севрвер с тройкой виртуалок, одна под мускуль, вторая под нгинкс, третья под php-fpm. Сам сервер настраиваем на проброс всего http на nginx, закрываем его по самые яица и коннектимся к нему в двух-трех IP.
Виртуалка с nginx работает только со статикой и отдает остальное на php-fpm.
php-fpm коннектится к базе мускула.

Если что-то сломали, то просто восстанавливаем последний снапшот в режиме реад-онли. Ну и всегда держать виртуалку со статикой "Ведутся работы"...
Тоже самое - на LXC или docker делается, если виртуалки напрягают...

Ну и хорошо бы все php-файлы в режиме read-only держать.

Самое простое, если одна файловая система, то сделать

mount --bind

Openladp + kerberos + freeradius + dhcpd4 + bind9

Не парить могзк и взять генератор правил для iptables, мне очень нравится firehol, просто и надежно! firehol.org
Вот например конфиг для pptp и локалки с маскарадингом и открытыми нужными портами

interface eth0 mylan
    policy accept

interface ppp+ internet
    server smtp accept
    server http accept
    server ftp  accept
    server ssh  accept src example.firehol.org

    client all  accept

router mylan2internet inface eth0 outface ppp+
    masquerade
    route all accept

А еще остались банкоматы с полуосью! тут поддержки уж как 10 лет никакой нет, а работают :-)
Часто таким устройствам поддержка и не требуется. Подозреваю, что окупаемость банкомата примерно год. за 3-5 лет можно просто новый поставить! Так что процесс сравним со старыми серверами - их просто заменяют! Отработал свое - в утиль, новый будет с новой операционкой, и не нужно ничего обновлять.

Ну, да, будет зоопарк из операционок, но это небольшая проблема, тем более, что стоимость самой ОС, дай Бог, составит 1% от стоимости банкомата (это наверняка OEM вся обрезанная и embedded, будет около $22 на устройство).

А вот:

Windows Embedded 8.1 Industry, как и остальные продукты в Embedded-канале, имеет 15-летний цикл жизни. Это позволяет создавать решения на долгую перспективу, не заботясь о том, что вышла новая операционная система и предыдущая стала уже не доступна.

О сколько нам открытий чудных. Готовит просвещенья друг.

Увы, это порочный путь! Абсолютно порочный!
Если сотрудники нифига не делают (как я сейчас), то дрючить нужно не сотрудника, а руководство и начальство, или выгонять сотрудников в отпуск, отгул, переводить на сухари и дрожжи.
Закрыв интернет, будут теребить планшеты и коммуникаторы, оплевывать курилку и целоваться за углом.

Ну а теперь предложения. Ставьте простой proxy с авторизацией, остальные порты просто перекройте нафиг.

Да, человек смертен, но это было бы еще полбеды. Плохо то, что он иногда внезапно смертен

Разочарую, никуда и ничего не пишется, так как просто не успевает :-( единственный момент отследить, посчитать количество включений и выключений, написав например свой upstart-сервис.

Ну, маллока мало! желательно еще и обратиться по адресу аллокированной памяти, так как в линуксе имеется ленивая инициализация. А вот calloc() в цикле самое оно, проверено!

Да хоть руками пишите на микроконтроллере (ARM32/AVR, далее везде). Вот пример реализации - we.easyelectronics.ru/electro-and-pc/podklyuchenie...

Достаточно просто. Установите на все серверы collectd. В нем есть плагин https://collectd.org/wiki/index.php/Plugin:Ping
В конфигурации плагина устанавливаете пинги на все ваши серверы.
Результат отдаете в нагиос через например https://collectd.org/documentation/manpages/collec... (я не пробовал!!!)

Также результат можно лить и в mongo и в redis и в rabbitmq. Ну а плагинами нагиоса достанете отовсюду, благо они пишутся за 5 минут.
Или радикальнее, ставите graphite (у нас было) или unfluxdb+grafana (теперь) и туда льете данные с серверов collecd.

PS. Бонусом установки collectd получите быстрый и не ресурсоемкий сбор практически любой статистики.

Файлы записать в архив на СД/ДВД и перекодировать как написал ShamblerR