Макс

так в чем проблема? отдавайте клиентам 10.10.0.5 в качестве DNS, если те не переопределят его себе сами - запросы пойдут на этот ваш 10.10.0.5. Каждому клиенту WG выдаст отдельный адрес, тут ничего и настраивать отдельно не надо.

я б еще посмотрел вариант с PublicBridge
там как я понимаю адрес навесится прямо на сетевуху внутри VM

ИМХО дело в маршрутизации, у вас только "основной" адрес в этом случае имеет маршрут "по умолчанию".
если устроит чтобы все ответы от вашего сервера стали приходить с второго-третьего-пятого адреса - пропишите дефлт через него.
вот чтобы "на какой адрес пришло - с такого и ответило" надо повозиться побольше.

можно немного "на вырост" поставить докер и линукс в него. заодно и с докером познакомитесь =) для веб-разработчика сейчас ОЧЕНЬ не лишнее

судя по Q-A самого Ранчера - никак.
да и выглядит это поперек идеологии кубера, по сути вы жестко приколотите контейнер к определенному хосту-адресу. Разве что ингресс можно было бы вывесить на эти разные IP, но и тут профит сомнительный.

PuTTy options --> Connection "Enable TCP_keepalives (SO_KEEPALIVE option)
ну и время keepalive выставите, секунд 20-30

попробуйте
select session from table_2 group by session
заменить на
SELECT DISTINCT session FROM table_2
эффект тот же, но ...

предположу:
на все каталоги дайте полные права для группы.
для каждого сайта делаем отдельную группу и делаем ее группой-владельцем. у all права отбираем вовсе. возможно стоит www-data также добавить во все эти группы
пользователя, которому надо получить доступ к какому-то сайту, добавляем в группу этого сайта
что получится.
веб-сервер владелец файлов, имеет на них все права, все ок
пользователь входит в группу, у группы есть права - пользователь получает доступ к файлам.
каталоги, в чьи группы пользователь не входит, пользователю видны, но войти в них он не может
что необходимо учесть:
поиграться со sticky-bit и umask, иначе права на новые файлы "уплывут".

А почему Вы думаете, что у Вашего SMTP отдельный логин-пароль? Классика - используется логин-пароль пользователя. Есть конечно варианты с "внешней" авторизацией .

noatime для основного раздела
выбрать нежурналируемую ФС
отключить лишние логи (или перенести в память)
отключить все лишние сервисы

хранится в переменных окружения, в переменной PWD
кроме cd, устанавливается замечательно через PWD="/"

зашедульте (Вы же логи выкачиваете ежедневно?) под user2 архивацию логов и назначение им прав с a+r - всем право на чтение.

куда ходят - зеркалируйте трафик винды на линуксы и снифьте сколько угодно. Но сейчас много сайтов с https, увидите только факт входа на сайт. хотите большего - придется поднимать проксю.
что делают - тут "серебрянной пули" мне не известно. если хватит анализа логов - можно взять ossec или beats от elasticsearch. Если хотите видеть экран - VNC, как пример. Ну или какую-то DLP ищите, тут я не подскажу.

ну так он SAS - к серверу подключен как диск. Ищите скрипты, которыми раньше делались бэкапы. Или что-то типа Tivoli/Bacula