ky0

rsync умеет после загрузки проверять checksum, например. В чём сложность?

Засовываете "certbot-auto renew ; service nginx reload" в кронтаб, ставите выполняться раз в месяц.

Разумеется, нужно правильным образом настроить урл /.well-known/acme-challenge в nginx`е.

Пользователь bash на сервере существует?

upd. попробуйте вот так:

0 0 * * * %username% %абсолютный_путь_к скрипту%/backup.sh > /tmp/tmp.cron

в скрипте в первой строчке должен быть указан интерпретатор - #!/bin/bash

У ssh есть ключ -b:

-b bind_address
Use bind_address on the local machine as the source address of
the connection. Only useful on systems with more than one
address.

Разумеется, это не отменяет необходимости правильным образом настроить маршрутизацию на сервере.

pg_dump, ssh, pg_restore. Можно в одну строчку с использованием пайпов. В случае, если база здоровая, я бы сделал не через дамп/рестор, а через pg_basebackup.

Релевантное обсуждение на SO - https://stackoverflow.com/questions/1237725/copyin...

Why drop caches in Linux?

О боже, СУБД в процессе работы использует много памяти!

Настройки покажите, скорее всего это совершенно нормальное поведение.

Поставьте atop в режиме логирования - сможете пост-фактум посмотреть, какие процессы грузят процессор.

https://habrahabr.ru/post/268583/

Телнет проходит? В обе стороны? Если нет (особенно, если от сервера до клиента) - это и есть причина, копайте фаерволлы и т. п.

Вынесите данные, к которым часто обращаются в отдельный таблеспейс, расположенный на более производительных дисках, например SSD.

Делайте отдельные локейшены для каталогов, которые должны быть доступы по прямой ссылке.

Можно, но с сетью у них будет не ок.

Присоединяюсь к советующим разруливать это на сетевом уровне.

А зачем вам вообще такое поведение? Надёжность уменьшится же, если каждого клиента будет обслуживать всего один сервер.

AWS S3?

Нет ничего страшного в том, чтобы DBA знали пароль от юзера postgres, намного важнее ограничить возможность подбора пароля снаружи, например, с помощью pg_hba разрешив только локальный коннект.

На LXC можно - у нас в компании именно так и работает VPN-гейт. Вам критичен именно OpenVZ?