Alukardd

У меня вход везде по ключам, ключ защищён паролем. Пароли от рабочих сервисов рандомные, храню в файлике шифрованном Vim'ом, до этого пытался использовать OpenSSL для AES шифрования, понял что не удобно, т.к. не везде настроена интеграция с vim (конфиг править лень везде ;-)), что сильно усложняет жизнь (а команду запомнить сложно :-D — openssl enc -a/-d -aes-256-cbc). Да, старые версии Vim поддерживают только zip шифрование, которое весьма быстро ломается, а вот начиная с 7.3 используется blowfish, так что всё прекрасно.

Посмотрите на altermime. Правда с архивами он вроде не справится…
Отправлять ему почту соответственно любым удобным способом — procmail, exim_filter/transport_filter, .forward, dovecot lda и т.д.

Если уж говорить о способах пакости и доступа к ресурсам сети, то Вам придётся проштудировать буквально ВСЁ. Т.к. VPN клиенты или любой другой способ backconnect'а, даже с клиентской машины, даст админу доступ во внутрь сети, а дальше уже всё намного проще для него…
Собственно, базовые принципы Вы описали еще в вопросе, а дальше рекомендую не накалять отношения. Т.к. по факту, реально защитится от злого уволенного админа выльется вашей фирме в кругленную сумму.

rkhunter и в дополнение бегает chkrootkit
ssh только по сертификатам, хотя за root'а вход почти всегда оставляю. Однако ssh ныкаю от внешнего мира через iptables knock.
Кое-где использую tripwire для контроля целостности.
fail2ban бегает. Постоянно стопит bruteforce Asterisk'а)