Насколько безопасно и целесообразно использование LXC контейнеров для разнообразных задач.
Возможно ли каким-то образом получив доступ к консоли контейнера, получить доступ к хост-машине?
Я думаю, что чисто гипотетически - могут существовать подобные баги в системе, но на практике - Вам о них вряд ли кто-то расскажет.
К примеру, если разместить все сервисы по разным контейнерам и пробросить порты через iptables, задав некоторые правила.
Для этого, если мне память не изменяет, есть Docker.
Как по мне, можно делать регулярные бэкапы контейнеров и при отклонении в мониторинге или конкретной атаке, просто
Можно, но с этим не редко возникают проблемы. Например, что бы сделать бэкап БД без контейнера - достаточно запустить утилиту для создания бэкапов БД. Что бы сделать бэкап базы вместе с контейнером - нужно будет остановить контейнер, сделать его полный бэкап и запустить снова... А если у Вас там ещё и ZFS будет - то это ещё целый слой потенциальных проблем.