CityCat4

ext4
lvm

Отсутствие lvm при необходимости расширения ФС приведет к старинному решению - монтирование разделов в точки монтирования (ну то есть в /usr монтируем /dev/sdb1, в /var - /dev/sdb2 etc). Это вполне себе решение обкатанное тысячами инсталляций, но у него есть существенный недостаток - для его реализации нужно останавливать сервер на все время копирования /usr, /var etc на новые расположения.
Если останов сервера некритичен - можно lvm не использовать. Я в свое время дико натрахался с этим расширением ФС на FreeBSD (где lvm нет - ну по крайней мере в 9.1-RELEASE не было) поэтому на линухе lvm - это просто что-то с чем-то.

HP 14-cf2003ur (product number 22Z36EA). 14", обычная рабочая машинка, без наворотов. 8G RAM, 256 G SSD, Pentium Gold 6405U 2,4GHz, интеграха Intel UHD. Тач посередине, HDMI, 2 USB, Ethernet, кардридер, wifi, BT. Вес полтора кг.
Preinstalled FreeDOS :)
на генте завелось все "искаропки" - и wifi, и тач, и нормальное видео
UPD: Забыл упомянуть, что винда тоже без проблем. Десятка, ессно.

Да все знают :)

Свой собственный. Архитектуру примерно набросал Руслан Федосеев

you need to load the kernel first

Правильно пишет. Перед тем как запускать ядро (boot), нужно его загрузить (сначала initrd, хоть это и не обязательно, потом linux).
Про восстановление системы из граба есть множество материалов.

скорее всего денег на Windows Server не увижу.

Чувак, одна инсталляция фото#опы уже потянет на "крупный ущерб", а десяток - на "очень крупный". А еще плюс офис, который конечно сам по себе не очень много стоит, но ведь его нужно на каждый комп...
На фоне затрат на лицензирование клиентского софта (который будут проверять в первую очередь) затраты на лицензирование сервера (даже плюс CAL) - будут выглядеть сущими копейками.
Про корректную поддержку удаленной установки и доменных политик в самбе мне пока неизвестно
(хотя ее появление будет опупительным прорывом - потому что AD это не только ценный мех логины и пароли в одном месте...)

Лично я необходимости в линухе не особо увидел. Ну можно вторйо системой поставить, но практика показывает, что вторая система остается невостребованной.
"Драйвер на процессор" - это что? Что за устройства он устанавливает? (Процессору драйвер не нужен :) )
Проблемы с оборудованием на ноутах - это не просто обычное явление, это абсолютно ожидаемое явление - очень часто производители не морочатся поддержкой линухов.
Остальное - вкусовщина. Вам придется искать людей, у которых такие же требования или же пробовать решить вопрос самому (что как правило и бывает)

Есть способ.
"Окей, гугл" называется. Сначала выясняешь, что такое Permission denied. Потом - что с этим делать...

Если сайт "длля себя и подружек", то проще всего забыть про все эти самоподписанные сертификаты и воспользоваться LE (Let's Encrypt) - он как раз для этого годится. Как им воспользоваться - в тырнете сто тыщ мильенов инструкций.
Если хочется таки разобраться - то ошибка возникает из-за того, что сертификат самоподписанный и доверия к нему нет. Для появления к нему доверия необходимо:
1. Поместить сертификат в хранилище доверенных сертификатов (где это в бубунте, не знаю, обычно /etc/ssl/certs)
2. Создать в хранилище доверенных сертификатов (см. выше по расположению) специальный файл-ссылку - их там должно быть огромная куча для стандартных сертификатов таким образом:

cd /etc/ssl/certs
ln -s yourcertfile.crt `openssl x509 -hash -noout -in yourcertfile.crt`.0

Я не совсем понял вопрос, в особенности причем тут вируталки. Вы покупаете железо и выбираете ОС для установки на железо? Есть деньги - ставьте винду, но учтите, что лицензировать придется не только саму винду, но и MS SQL. Нет денег - ставьте бубунту и постгрес.
Ставить ли виртуалки или нет - зависит от того, есть ли у вас еще хосты, налажена ли инфраструктура бэкапов и все такое.
Если это просто еще один хост - то конечно ставить гипер, который стоит всюду и не забыть добавить в систему бэкапов.
Если это единственный хост - скорее всего гипер не понадобится. А вот бэкап для 1С точно понадобится

В нежелании почитать книжку типа "линух для чайников".
Вот так вот:
# vite
будет выполнено, только если существует бинарник vite, он имеет права на выполнение и находится на пути, перечисленном в переменной PATH. Текущий каталог в PATH не входит
Вот так вот:
# ./vite
будет выполнено, если существует бинарник vite, он имеет права на выполнение и находится в текущем каталоге
Вот так вот:
# sh ./vite
будет выполнено, если существует бинарник vite и находится в текущем каталоге.

зашифровал домашнюю папку по инструкции

Зачем? Ну то есть от кого пытаетесь защититься?
От жены/мужа/соседа - смысла особо не имеет, разве только в общаге живете.
От работодателя при удаленке - ну, может какой-то смысл есть...
От работодателя в офисе, от государства - смысла нет, так как никто Вашу "зашиту" ломать не будет. Ломать будут Вас.

Шифрование файловых систем никак не связано с паролем пользователя. Оно выполняется либо паролем, вводимым с клавиатуры (зачастую не хранимым нигде - если пароль забыли, данным пиз..ц), либо сертификатом, который может где-то храниться - и если знать где и его стырить - можно и расшифровать.

Подделка почтовых заголовков - крайне плохая идея. Уже не говоря о том, что ответ тоже пойдет на support@domain.tld, потому что протокол SMTP не предусматривает никакой защиты заголовка. То есть конечно, можно покопаться в мозгах постфикса и организовать нечто типа "почтового NAT", когда сервер "помнит", что письмо с заголовком X-Zhopa: AAAA на самом деле отправлял ivanov@domain.tld, письмо с заголовком X-Zhopa: BBBB отправлял petrov@domain.tld и при приеме меняет заголовок обратно - но, боюсь, писать это придется самому :)
Это не считая того, что обычно конторы, у которых переписка идет с одного адреса - могут быть посчитаны за шарашкины.

Хм... Менять бесплатный ESXi (одинокий сервер) на бесплатный KVM - это так себе идея.
Менять платный ESXi с плюшками типа Live Migration - только в случае крайней необходимости (импортозамещение бла-бла на такие кунштюки способно еще как).
RAID в ESXi бывает только аппаратный - если там именно RAID, а не путаете что-то. Аппаратный RAID поставляет на верхний уровень некую абстракцию, называемую RAID-массив, которая управляется только через его конфигуратор, запускаемый как правило при перезагрузке (хотя есть виндовые тулзы для считки инфы).
То есть, если у Вас настоящий аппратный RAID - ему пофиг, что у Вас за ось.

Если нельзя обновить ядро средствами бубунты - то как обычно - скачать исходники, собрать и поставить. Манов по самостоятельной сборке и установке ядра - хоть #опой жуй.

поставил на него минимальную графическую оболочку xсfe4

Зачем?

Администрирование VPS в роли веб-сервера без каких-то проблем делается через обычную командную строку - ssh с заходом по ключу без ввода пароля и с ограничением IP - и вуаля.
Зачем городить какие-то огороды? Неудобно в консоли - ну webmin поставьте. Зачем этот трах с графикой, которую потом еще по VNC/RDP просовывать...