ky0

Для базы - настраивается реплика. Выбирается окно для техработ, в течение которого никто никаких изменений не вносит, файлы синхронизируются, реплика базы открывается на запись, а на старом сервере оставляется только nginx, проксирующий запросы на новый, на пару-тройку дней до обновления DNS-записей.

Выглядит, как попытка решить задачу неподходящим для этого инструментом. Изменения текстовых файлов обычно логируются с помощью VCS.

Апдейт репозитория делали? На уровень выше в репозиторий ходили? Что там увидели?

Правильно ли я понимаю, что вы хотите в этой панели натыкивать руками, то есть - развести зоопарк, и поэтому стандартный набор вроде Puppet+Foreman или Ansible вам не подходит?

Можно ли сделать так, чтобы при наборе IP открывался основной домен без всяких предупреждений?

Можно. Просто не открывайте его по HTTPS (каков вообще кейс такого прихода?), потому что валидный сертификат на айпишник вам никто не даст.

Стандартные средства обновят так, как скажете.

Возможно, стоит добавить логирование. Тормозить может много где - от резолва доменов и TLS-хэндшейка до скорости сети, хилого процессора и медленных дисков под базой.

Если вам нужны как можно более свежие пакеты - Дебиан максимально неподходящий дистрибутив. В целом, как уже совершенно правильно заметили выше - лучше подключать отдельные репозитории, а не всю нестабильную ветку.

apt-key очень скоро станет deprecated. Просто скачайте ключ от репы в файлик и положите его в /etc/apt/trusted.gpg.d.

Для начала я бы настроил мониторинг активности диска, потом добавил бы atop и auditd, чтобы можно было посмотреть корреляции между моментами высокой нагрузки, процессами и конкретными файлами.

Если не хочется возиться со скриптами, попробуйте BounCA - это простецкая вебморда, делающая ровно то, о чём вы спрашиваете. Если же хочется - как правильно сказали выше, easy-rsa.

Отслеживать можно по сигнатурам или просто количеству пакетов и соотношению входящего/исходящего трафика.

Сколько раз уже были такие вопросы, и каждый раз одно и то же:

- Какую ОС выбрать?
- Ту, которую лучше знает ваш админ.
- Админ - это я.
- Нет, вы не админ и значит без разницы, что взгромождать.

Можно настроить отправку логов веб-сервера в ELK и сделать там красивый дашбоард с интересующими вас метриками.

Папка с числом на конце обычно используется в качестве цели ссылки в каталоге live, поэтому при использовании путей к файлам вида

/etc/letsencrypt/live/domain.tld/(chain|cert|privkey).pem

ничего поломаться не должно.

Удивлюсь, если кто-то согласится бесплатно дебажить ваши туннели. Курите логи подключения, ищите сообщения об ошибках, это полезно в долговременной перспективе.

В файле с виртуальным хостом, либо в htaccess.

Засуньте то, что у вас сейчас в кроне в bash-скрипт и вызывайте в планировщике его, тогда не придётся приседать с sh -c и всем остальным.