1. Клиент за всё отвечает сам.
2. Через .rc не ломают, дефолтовые настройки норм.
3. Вы должны представлять, какие службы крутятся на VPS и на каких именно портах.
4. Иногда техподдержка хостера предоставляет доп услуги - типа "снять снапшот или образ ВМ/ откатить систему на предыдущее заранее сохранённое состояние". Если и нет, образ можно снять самостоятельно. Более того, образ не обязательно ставить с дистриба - накатить заранее сохранённый образ из Acronis/Norton Ghost обычно тоже можно. Да хоть dump/restore использовать.
5. Можно использовать нестандартные порты - типа ssh на порту 3128 или 8022 например.
6. В отличие от *bsd разные версии linux позволяют заходить под рутом. Это надо сразу отключать.
7. И разумеется, чем меньше служб - тем меньше точек для взлома. php_fpm и mariadb могут работать через socks, не занимая сетевые интерфейсы (даже интерфейс обратной петли). Частый метод взлома - sql-иньекция, так что надо ограничить доступ к sql и проверять вводимые данные.
