MarvinD

Вообще если вопрос стоит таким образом, про ИБ говорить не стоит. Если для изучения нужен именно Kali, то или виртуалка или загрузочная флешка, если основную ось жаль.

3. Нужно ли отключать SELinux

Вообще некорректно поставлен вопрос. Его никогда не нужно выключать, если к этому нет конкретных предпосылок. В вашем случае вы используете широко известный софт, он к SELinux относится хорошо. Понимать настройку SELinux, возможно придется. Но понимать и "нужно отключать" разные вещи.

4. Или я всё делаю неправильно и нужно использовать docker?

Опять - нужно. Так можно дойти до того, что "нужно использовать Debian, а не CentOS". Выше правильно сказали, что docker в первую очередь ориентирован не для обеспечения безопасности конфигурации.

Минимально для безопасности VPS нужно:
1) доступ по ключу, а не по паролю;
2) firewall, разрешающий только то, что нужно (ssh, http, https).

И погуглите насчет secure nginx, что-то в этом роде.

Т.е. защищать надо, начиная с точек, к которым остальные имеют доступ. А это открытые порты к сервисам, которые вы не можете от других закрыть.

Спасибо еще раз всем откликавшимся, опишу реальный опыт. В качестве варианта решения использую Azure, Win 2016 Std, конфигурация сервера Standard DS11 (2 vcpus, 14 GB memory). При 9 не очень активных пользователях (почта, чуть-чуть документы, чуть-чуть браузер) процессор в рабочие часы от 20 до 50 процентов в среднем загружен, до 80% легко поднимается, когда все работать начинают. В общем, по процессору иду на грани, но пока тянет и не плачу больше нужного. Память на пользователя в среднем от 300 Мб до 1 Гб. Диск с данными использую IOPS limit 2300, throughput limit (MB/s) 150. Антивирус - встроенный MS. Если работа пойдет активнее, процессор почти точно будет нужен мощнее. Отрисовка страниц браузера просто ужасная, самый большой источник раздражения. Не знаю, что с этим поделать - виртуальную видеокарту арендовать, в общем, не знаю. Офисные приложения работают норм.

Т.е. память лучше рассчитывать мин 500 Мб, макс 1 Гб на юзера, а процессор, надо полагать, одно виртуальное ядро MS на 3-6 пользователей.

Вы же бесплатный ищете? Тогда Iredmail, как уже выше сказал Руслан Федосеев
Если платный и не геморный, но функциональный, то Kerio Connect.

А если клиентам выдать статические ip (чтобы не было завязки на возможные проблемы с dhcp)? Т.е. не то, чтобы это за решение брать, а просто проверить.

Как вариант, выставить привязку mac к ip.