moi je suis très content de isso (python)
mais voici d'autres solutions en PHP donc, pour ceux que ça intéressent.

"""
I'm a big fan of serverspec but there are times the ruby tool chain behind it can be an annoyance and result in lots of baggage being installed. This isn't a major problem on development machines, where many of the gems will already exist, but on production hosts the runtime dependencies can be comparatively heavy. To avoid this I've started looking at possible alternatives and one young, but promising, project is Goss - the tool for 'Quick and Easy server validation'.
"""
alternative à serverspec, écrit en GO.

"""
There’s much more written about SafetyNet [https://koz.io/inside-safetynet/] in this teardown blog post, but it certainly seems we can identify some areas Google want to clamp down on. Firstly, they don’t like root, Xposed, and anything modifying the system partition. Secondly, it seems Google is considering detecting users that have ad blocking enabled – the SSL handshake checks on pubads.g.doubleclick.net certainly suggest to me that Google want to know if you’re blocking ads on your device. Considering that root is usually a pre-requisite there, but that the VPN API could potentially be used to do this without root, it looks like Google at least want to have an idea who (or how many people) are blocking ads. Ad blocking is a topical issue given the push from Apple to support it in the web browser (arguably to encourage people to use apps more, where they control the experience and can offer non-blockable ads), and these moves are interesting.
"""
Google n'aime pas qu'on puisse modifier son système Android, notamment pour outrepasser l'affichage de la publicité (/system/etc/hosts).
Avec Marshmallow, l'entreprise durcit la sécurité avec l'aide de SElinux:

1) Obligation de passer par une boot image modifiée pour obtenir les droits root. Ce qui implique, pour flasher cette image, d'avoir un bootloader qui est déverrouillable. Ce n'est pas le cas de la plupart des ordiphones android qui sont vendus sur le marché.

2) Dm-verify (http://source.android.com/devices/tech/security/verifiedboot/) passe en mode 'enforcing' dans Android M.. Ce qui va rendre plus compliqué les modifications systèmes (partition /system), même si on dispose des droits root. Cela peut s'outrepasser avec une bootimage modifiée, mais ... voir 1).

"""
Httplog and httptop go one step further by implementing some basic decoding of the raw data that echo_fds shows. In particular, if the connection is carrying HTTP data, they extract information like the URL and the response time. You can think about this as a simple version of ngxtop, but web server agnostic and able to see inside containers.
"""
Notez qu'ils parlent de 'containers', mais quand on en précise aucun (exemple 'sysdig -pc -c httplog') cela utilise le container "host" qui est donc la machine locale en elle-même.

On oublie trop souvent 'sysdig' et tout ce qu'il permet de faire..
C'est un mélange de strace, lsof et tcpdump.

Voici quelques exemples d'utilisation.

https://jeekajoo.eu/links/?searchtags=syscall

EDIT: si vous souhaitez jouer avec csysdig (sysdig en ncurse), utilisez les derniers paquets http://www.sysdig.org/wiki/latest-packages/ . Si vous êtes confrontés à "error mapping the ring buffer for device /dev/sysdig0", faites
"""
rmmod sysdig-probe
modprobe sysdig-probe
"""
source: https://github.com/draios/sysdig/issues/295

"""
du -x --max-depth=1|sort -rn|awk -F / -v c=$COLUMNS 'NR==1{t=$1}NR>1{r=c$1/t+0.5;printf " %5.2f%% \033[1;7;31m%s\033[0m %s\n",100*$1/t,r,"",$2}'|tac
"""
via le commentaire en bas de page

"""
A series of posts about the linux kernel and its insides.

The goal is simple - to share my modest knowledge about the internals of the linux kernel and help people who are interested in linux kernel internals, and other low-level subject matter.
"""

Code: https://github.com/0xAX/linux-insides

PID 1 = docker, no systemd ;-P

Cet OS consiste en:
kernel linux + docker + quelques logiciels system installés sous forme de dockers (syslog, ntp, dhcp, console, udev ...)

TOUT est docker sur ce système qui fait environ 20MB.

"""
%Cpu(s): 24.8 us, 0.5 sy, 0.0 ni, 73.6 id, 0.4 wa, 0.0 hi, 0.2 si, 0.0 st
"""

je conseille 'vmstat 1' pour voir ces valeurs (en plus d'autres métriques liées à la mémoire et aux io notamment) évoluer dans le temps
1 = toutes les secondes

"""
The problem : be able to cache a backend response if it took more than 5 seconds. If not, don't cache it!
"""
il utilise un map sur le temps de réponse + 2 vhosts + la directive X-Accel-Expires

ça parle de haute dispo avec redis

voir aussi http://redis.io/topics/sentinel

sandboxing léger niveau utilisateur (non root)
code: https://github.com/tsgates/mbox

un article intéressant sur le 'CPU steal time' auquel on peut être confronté sur EC2.

tout est dans le titre
(autopromo)

Je cite:

"In theoretical computer science, the CAP theorem, also known as Brewer's theorem, states that it is impossible for a distributed computer system to simultaneously provide all three of the following guarantees:

• Consistency (all nodes see the same data at the same time)
• Availability (a guarantee that every request receives a response about whether it was successful or failed)
• Partition tolerance (the system continues to operate despite arbitrary message loss or failure of part of the system)
  According to the theorem, a distributed system cannot satisfy all three of these guarantees at the same time."

Les commentaires valent le coup.
J'y ai notamment découvert 'serf' (https://github.com/hashicorp/serf).
Cet outil permet de faire de l'autodiscovery pour ajouter des noeuds automatiquement dans des pools.
ça peut être des pools de serveurs web (haproxy), ou de serveurs memcached (twemproxy).
Bref, c'est pratique pour faire de l'auto-scaling.

Ca fait aussi d'autres trucs qui peuvent (à mon sens) faire éventuellement double emploi avec un outil de gestion de configuration centralisé (saltstack, puppet, chef...).

une autre alternative à Disqus.
écrit en python.
il faut que je m'installe ça.