Стоит ли на web-сервере делать отдельные разделы для /var и /var/lib/mysql?

Если не знаешь, что и зачем выносить на отдельные разделы, делай как бог на душу положит — один хрен потом поймёшь, что надо было по-другому. Тут всё зависит от специфики задачи, и ЛОР тебе скорее навредит, чем поможет, потому что каждый будет свой опыт с конкретным сервером и конкретной спецификой экстраполировать на всех.

В твоём случае, видимо, без разницы. Делай всё на один, и сойдёт.

Я, например, высегда выношу отдельно, но не по каким-то магическим причинам, а тупо для того, чтобы этот раздел шифровать — дабы хостер (или кто либо, каким-то образом получивший доступ к серверу, допустим в результате рейда) не мог иметь доступ к разделу при всём желании. Но тебе это не нужно (иначе бы сам знал, что оно тебе нужно, или сообщил бы об этом нюансе). Сама система при этом не шифруется, ибо без надобности — там обычный дебиан с пакетами из реп, такой же как у всех.

Базу надо на отдельный сервер по-хорошему. Но если у тебя там что-то непосещаемое то пофиг как делать. Ты ещё не указал это реальный сервер или виртуалка.

Вариантов много. Как умеешь, так и делай. Если это физический сервер, я бы сделал LVM и из него нарезал бы несколько разделов. Если это облако, я бы выделил несколько дисков и их бы увеличивал по мере необходимости. Можешь и на одном разделе всё сделать, тоже рабочий вариант.

Разбиение на разделы по-мне решает в основном проблему исчерпания места. Разрослась у тебя база, весь диск выжрала - с одним разделом весь сервер начнёт кряхтеть-глючить, в худшем случае придется с rescue грузить и место рожать, а так - на своём разделе теснится себе, в крайнем случае ошибками будет сыпать только база, радиус поражения чуть меньше. Помимо исчерпания места ещё бывает такая прикольная штука, как исчерпание inode-ов. Кроме базы ещё могут логи разрастаться, начнут тебя таргетно долбить, и полетят логи в гигабайты в день. Но это всё не очень вероятные кейсы и в любом случае всё чинится, так что не критично это всё.

Разбиение на разделы по-мне решает в основном проблему исчерпания места.

В основном да. Но есть и другие юзкейсы, когда это может быть полезно. Например, может хотеться использовать разные ФС для разных данных. Ну там, например, что-то простое и стабильное как бетонная плита для системы, и что-то более экспериментальное и с дедупликацией или сжатием, или ещё какими фичами для данных. Ну или ещё по каким-то фичам разные, не обязательно со стабильностью связано. Другой вариант, как я описал выше — шифрование. Я для этого выделяю, например. Основная система не шифруется, а раздел с данными и кодом — шифруется. Таким образом в случае несанкционированного доступа к машине, при условии, что она выключена в этот момент, злоумышленник не может получить доступа к данным (всякие 0-day уязвимости или брутфорс на квантовом компьютере после достижения квантового превосходства и прочие подобные сценарии выносим за скобки).

По-мне надо всё шифровать кроме boot. Как минимум - если какой-нибудь любопытный админ захочет залезть в твои данные, имея доступ к корню это сделать куда проще, чем имея доступ только к boot. Собрать кастомное ядро с кастомным initrd, который сольёт введённый пароль - это смогут не только лишь все сделать, а засунуть тебе в корень бэкдор - это даже я смогу сделать. Понятно, что с теоретической точки зрения без аппаратной поддержки шифрования всего этого - всё это решето и взламывается, но с практической точки зрения порог входа сильно разный. А само шифрование корня наверное уже в любом дистрибутиве есть, если с ISO ставить.

Но в целом - да, согласен, разные ФС для разных целей это тоже может быть полезно, хотя мне пока не попадались такие случаи.

начать надо с ответа на вопрос - диск один? если да, то в наше время почти без разницы.

единственный нюанс тут с базой может быть подобный во этому

dump/restore сервера наживую

• с разными разделами под систему (включая web) и базу проще онлайн переносить куда-либо