Sshd kivételével minden szerverszolgáltatás haproxy-n keresztül mehet. Sőt, ssl layert is stunnel-lel húznék a dolgokra, ha kell. Egyébként TLS mindenhol, ahol authigény mutatkozik. (smtp, pop, imap, ftps stb.) Portsentry honeypot okosság, bár kerek tűzfallal hasonló megoldható. Szolgáltatáslogokat rendszeresen átnézni, oszt a fiktív tömeges bombázókat alhálóval együtt tűzfalazni. (Nálam komplett ázsiai szolgáltatók vannak feketelistán - hál isten nem kell arrafelé szolgáltatni. :DDD )
Jah, majd elfeljtettem: érdemes vmi könnyűsúlyú virtualizációba rakni a szolgáltatásokat - külön-külön. Vserver és tsai-ra gondolok. GRSec-el pl. jól együttmozog az említett. Megvéd az egyszeri elszabadult júzertől - ha netán elbacnék vmit nagyon.