...
Изначально порт ssh (22) и порт для подключения клиента биллинга (8080) открыты только для подсети 192.168.0.0/16. На порту 80, открытом для всех, запущен nginx, который проксирует запросы на 127.0.0.1:8080, разрешая запросы только в личный кабинет абонента, запрещая все остальные. Статические файлы (css, png, js и т.п.) в текущей настройке nginx отдает напрямую (в конфигурации также представлен пример полного проксирования через 127.0.0.1:8080).
Приложения биллинга расположены в директории /opt (в отличие от документации, где обычно предлагается использовать папку /usr/local). Там же расположена директория данных MySQL.
Т.к. в виртуальной машине возникали проблемы с /dev/random (отрабатывало очень долго), в файле /opt/java/jdk1.8.0_45/jre/lib/security/java.security изменено значение параметра securerandom.source c file:/dev/random на file:/dev/urandom (менее безопасный генератор случайных значений).
...