Ganz schöner Katalog 
Ich habe selbst keine One, werde aber mal versuchen ein paar Sachen zu beantworten. Zu Kodi / OpenElec / etc können wir aber nichts sagen. Wir bieten nur das DreamOS basierende Merlin Image an, ohne irgendwelche Boot-Images für Android oder Fremdfeeds für Kodi und so. Da wäre das Original Image die beste Basis.
Daher lasse ich mal deine ersten Fragen aus, kann ich nichts zu sagen.
- SD-Karte: Ist im Merlin Image per Gerätemanager einbindbar und dann normal nutzbar. Gerade für Video geeignete SD-Karten werden immer wieder, auch für Permanent Timeshift, empfohlen.
- USB Platte: Die meisten Gehäuse mit USB 3.0 und eigener Stromversorgung funktionieren problemlos. Evtl. braucht man noch das Zusatzpaket hd-idle, um die USB-Platte in Standby zu zwingen.
- Permanent Timeshifting: Das gibt es seit 2008, also auch schon seit deiner Zeit 
- Multiboot, VOD: Wird hier nicht unterstützt und habe ich selbst noch nie getestet. Ich habe aber nicht den Eindruck, dass das alltagstaugliche Anwendungen sind. Da sind meiner Meinung nach für die jeweiligen Anbieter zertifizierte Systeme (z.B. Android TV Systeme, FireTV,...) auf Dauer praktikabler.
- VPN: Hier rate ich zu spezialisierten Systemen. Wireguard oder OpenVPN kann man z.B. gut über billige OpenWRT Router, oder pfSense auf Raspberry Pi etc. einrichten. Da die Software der Dreambox nicht für den Einsatz in der DMZ (Zugriff aus dem Internet) gehärtet ist und auch nicht immer alle Software-Pakete auf dem neusten Stand sind, kann ich von jeglicher Port-Freischaltung oder -Weiterleitung auf die Dream nur abraten. Das gilt übrigens auch für alle anderen Linux-Receiver und viele embedded Geräte. Selbst bei einem Raspberry Pi würde ich mir das genau überlegen und nur mit speziellen Images machen!
- HDMI ARC sollte gehen. Ich glaube Passthrough durch die Soundbar wird aber i.A. empfohlen, weil stabiler und CEC kann deaktiviert werden
- DVB-T: Ist doch eh abgeschaltet?
- Webserver etc.: Siehe meine Ausführungen oben. Wenn du VPN Zugang über die Dream hast, stimmt deine Aussage ja auch schon wieder nicht, dass die Dream nur aus dem LAN erreichbar sei 
Weder enigma2 noch DreamOS haben etwas mit Debian zu tun. Das ist immernoch ein Embedded System. Die Verwendung von Tools aus der Debian Welt (dpkg, apt, systemd) macht es noch lange nicht zu einem sicheren Debian Derivat 
Wenn überhaupt würde ich da mit Docker mal basteln. Da habe ich mal was im IHAD gelesen.
Last, but not least: Ja, die Dreamboxen sind und waren schon immer mehr als reine TV-Receiver. Auch ich habe über die Jahre viele extra Dienste darauf laufen lassen, Extra Geräte angebunden usw. Daraus habe ich aber gelernt, dass der stabilste Betrieb nur mit für den jeweiligen Zweck optimierten Geräten und Software möglich ist. Alles andere ist Bastelei.
Bei mir steht inzwischen ein kleiner Heimserver (passiv von Cirrus7) , viele nutzen aber auch Intel NUC PCs dafür und auch moderne NAS-Syteme können mit virtuellen Maschinen und Docker viele Spezialaufgaben sauber erfüllen. Oder man kauft sich einen Zoo von Raspberry PIs 