>Всегда,когда собираю ядро для сервера отключаю модули вообще) А что если вспомнить что у нас год 2008 на дворе?Можно и покрасивее ведь изгальнуться :)
Берем OpenVZ.Режем жирную физическую машину на кучу менее логических серверов.Можно скажем по принципу "каждому сервису - свой контейнер!".
В итоге...
1) Слом VDS-машины еще не пиндык.Модули там загрузить из guest системы нельзя :P.А host вообще не обязан быть хакеру доступным по сети.Пусть галимных guset-ов ломают :)
2) Если сломали FTP сервер - сломали только FTP сервер.Ничего сверх этого хацкер не приобретет.
3) DoS атаки на ресурсы?Хаха, попробуйте!Эта штука может резать CPU, диск и прочее по квотам.Сначала виртуалку отполисует тамошний шедулер а только потом уже будет определяться какому процессу виртуалки сейчас работать.И так со всем.Так что захавать все ресурсы при должной настройки не выйдет.Как и создать другим контейнерам проблемы, ибо разделение ресурсов - на уровне.Зато можно гарантировать некий минимум всем контейнерам.Тогда сервера всегда получат достаточно процессорного времени чтобы как-то шевелиться, независимо ни от чего.
4) Можно слить состояние машины в файл.
4а) В случае проблем можно это состояние раскатать.Одним чихом откатив все несимпатичные изменения за считатнные минуты.
4б) Или можно смигрировать машину в файле на другой хост и восстановить ее там.В идеале даже сетевые соединения не порвутся - для всех будет видно только что машина немного притормозила.А то что ее при этом слили в файл, перенесли на другую железку и запустили уже там - известно только админу железки.Так можно при нужде вообще потушить железку не гася виртуальные машины.
5) Если долбит параноя - я бы подумал о расставлении капканов для раннего обнаружения хакеров :).Например можно попробовать что-то типа недавнего монитора ФС прикрутить.Если удастся такое раскидать на VDSах, мониторить их по принципу 1 контейнер на сервис - несложно.В том плане что весь доступ к файлам контейнера из-за этого заранее почти железобетонно известен.Хацкер немедленно спалится на незапланированном доступе к файловой системе :).Тут уже на выбор - можно машину с ним погасить автоматически, заалертить админа и прочая :)
Вот такая системка хакерам не понравилась бы имхо.И не поймешь что сломал виртуалку пока не поэкспериментируешь, а когда поймешь - админу уже аларм уедет а то и вовсе виртуалку загасит скрипт засекший доступ которого быть не должно :)