pfg21

Ну в статье правильно написано, если вы будете менять в сессии пользователя, есть большая вероятность, да даже не вероятность, вы 100% на это наткнетесь, что другой пользователь получит доступ к данным и права другого пользователя. по этому проще сессию целиком уничтожить, чем заниматься постоянно валидацией прав и вычищением пользовательских данных после логаута

Исходя из описания можно выдвинуть несколько предположений по мере их вероятности (от большего к меньшему):
1. Сдохла материнка, а именно питание CPU
2. Сдох CPU
3. Сдох БП
.....
100500. Другая невероятная хрень

Проверь БП на другом компе. Но нужно понимать, что "правильное" напряжение на не является гарантией работоспособности БП, так что он божет убить чужой комп как убил твой.
Проверь CPU. Часто-усто CPU умирая прихватывают материнку, так что очень может быть, что он может убить чужую
Проверь MB. Само собой при этом так же могут возникнуть проблемы

Точно знаю что cgroups это позволяют, но они заметно сложны для использования (я не видел красивой инструкции именно под такую задачу), с их помощью сделан lxc/lxd и соответственно docker.

Настоятельно рекомендую через lxc или docker все и завернуть. Доступ к GUI реализуй через проброс портов ssh либо используй xserver и открой доступ xhost/xauth

Если приложения умеют работать с socks/http прокси, то тогда достаточно настроить только прокси, а некоторые из коробки типа squid имеют настройки по тому, через какой интерфейс отправлять пакеты

Что такое Docker простыми словами

простыми словами

Если совсем прям простыми, то - это некая легковесная оболочка, которая способна изолировать приложение внутри себя от внешнего мира. Очень похож (по логике) на системы виртуализации VMware, VirtualBox, Parallels итп, но сам не является им.

Возможности:

- Контейнеризация: Docker позволяет паковать приложения вместе со всеми их зависимостями в контейнеры, обеспечивая тем самым их независимость от конкретной инфраструктуры.
- Переносимость: Контейнеры Docker могут быть запущены на любом компьютере, который поддерживает Docker, независимо от операционной системы. Это делает распространение и развертывание приложений намного проще.
- Изоляция ресурсов: Каждый контейнер Docker работает в изолированной среде и не влияет на другие контейнеры или хостовую систему.
- Слоистая файловая система: Docker использует слоистую файловую систему для хранения данных, что позволяет существенно экономить дисковое пространство и упрощает обновление и распространение контейнеров.
- Сетевые возможности: Docker позволяет настраивать сетевые параметры каждого контейнера, что позволяет создавать сложные многокомпонентные приложения.
- Docker Hub: Docker Hub – это репозиторий, где можно хранить и делиться контейнерами. Это облегчает развертывание и распространение приложений.
- Docker Compose: Это инструмент для определения и запуска многоконтейнерных - Docker-приложений. С помощью Compose вы можете использовать файл YAML для конфигурации служб вашего приложения, а затем с помощью одной команды создать и запустить все службы.
- Docker Swarm: Docker Swarm предоставляет нативные возможности Docker для оркестрации и масштабирования кластера Docker.

OpenWrt: https://openwrt.org/docs/guide-user/installation/o...

Можно использовать head. Передать вывод find в head.

https://developer.android.com/training/monitoring-...
Если я правильно прочел, это не просит рута.

Какой существует бестпрактис при разворачивании lemp стека с точки зрения пользователей.

Обязательно нужен отдельный пользователь для работы веб-сервера, субд, php-fpm, redis итд - каждому из них выдать доступ только к тем директориям и файлам, к которым им доступ необходим.

Нельзя чтобы они работали от рута или имени обычного пользователя, тк таким образом ты увеличиваешь площадь для атаки.

А одном тг чатике сказали, что делают своего юзера, пусть будет app, через него запускают nginx и php-fpm и его же назначают владельцем и группой для файлов сайта (var/www/app), дают ssh авторизацию.

Не вижу смысла выдавать app-юзеру права на логин по ssh. Все настройки можно делать и от имени административного пользователя - главное потом проверить что права выданы корректно.

НО и надо помнить, что теперь нет нигде www-data и копипаст каких-то решений\конфингов может не завестись.

Не вижу в этом никаких проблем - лишний раз включишь мозг чтобы понять, что ты там в конфигах воротишь => будешь сам знать где может быть потенциальная дыра или ошибка.

у меня все работает, но, возможно, я не вижу какой-то ошибки, которая потом, в ci\cd, jenkinse, ansible или еще где-то мне ногу отстреллит.

Значит потом для cicd / jenkins / ansible также заведёшь пользователя с нужными правами, как и у тебя, чтобы ворочать конфиги и файлы.

Практик очень много, тут лучше идти в сторону лучших практик от devops, это большая тема, но полезная.

Но если упрощенно и по старинке и быстро.
1. Доступ на сервер только по ssh ключам, никаких паролей.
2. Отдельный момент по sudo
2.1 Для пользователя админа в целом оставляем запрос пароля на sudo
2.2 Для сервисных аккаунтов(условные www-data и компашка,которые для служб, сервисов, автоматика того же ларавел) делаем sudo без пароля для избранных команд/программ. Таким образом автоматизация будет работать сама, независимо и стабильно.
3. Бонус пункт. Подумать о переходе на докер контейнеры на сервере, многие штуки упрощаются. Можно начать с интеграции того же laradock как самый быстрый и лёгкий старт.
PS почему rsync? Почему хотя бы не скрипты которые фетчат гит репо. rsync для некоторых сценариев бекапа еще понятно, но для деплоя кода ну не знаю. Более прозрачная схема через гит и билд на сервере. В крайнем случае в тот же гит можно и сбилженные релизы добавлять и их разворачивать на сервере.

Если нет доступа к машине, то и по SSH вы к контейнеру скорее всего не подключитесь. Никто в здравом уме его не экспозит.