Для веба
/
/home - тут приложения
/var/static - статика, которую юзеры грузят. noexec
/var - тут субд хранят свое добро
/var/log - тут если кто-то начнет срать в логи, то сразу заметишь, а приложения не упадут изза недостачи места
/boot
wo swap
Безопасность приложения - процесс, а не результат
Приложение защитить можно, только вот безопасность софта состоит из многих компонент, часть из которых люди
Если там пилят на рор и работают только на винде, то советую сменить работу
Такие загоны звоночек, что с головой у руководства не все ок
В инете так много матерала по настройке вагранта под что угодно, что на фирме с их виндовой инфраструктурой уже должен быть батник для разворачивания окружения для разраба в один клик
