1. во первых не стоит городить зоопарк дистров, надо остановиться на одном и использовать его везде. А дальше для обновлений есть куча варинтов, от yum-updatesd, до ansible yum: name="*" state=latest и до satellite/spacewalk и т.п. Там управление уже не только уровнем апдейтов но и их разновидностями ()безопасность, системное ПО, приложения и т.д.
2. IPA закрывает все эти вопросы.
3. тоже IPA, хотя можно прикрутить любой LDAP или NIS
4. так же как и в винде - проверяемся на тестовом стенде перед запуском апдейтов в продакшен. еще можно снять lvm snapshot, накатить, и откатиться если что, но это потребует даунтайм.
