Если это всё в докере/lxc/итп или под systemd, то проверьте ограничение неймспейса, скорее всего именно там лимит на число fork-ов. Например, `/sys/fs/cgroup/pids/user.slice/user-1000.slice/pids.max`.
Для меня решающим доводом в своё время стало бОльшее число сторонних пакетов и наличие большого числа свежего-нестандартного на launchpad (ну и вообще ppa). В Debian они часто не притаскиваются, а ubuntu работают на ура. Но лично я предпочитаю Mint = ubuntu+старый-добрый-DE-из-коробки.
chkrootkit+rkhunter = и не надо никаких касперских.
Добавить в списки репозиториев обновления безопасности, регулярно накатывать обновления (обычно в графическом режиме она сама предлагает), при выходе новых версий ОС обновляться (лучше всего через месяцок после релиза). В отличие от RH-подобных, тут версию обновить можно на ходу, даже без перезагрузки (потом как-нибудь хорошо бы перегрузиться, чтобы новое ядро заработало).
Для перестраховки - если есть какие-то сервисы типа почты (на приём), ssh, vnc и т.п., то запретить вход по ssh по паролю (только ключ), поставить fail2ban.
Можно ещё logwatch/logcheck, чтобы в логи смотреть проще (они сами обо всём нестандартном/подозрительном расскажут). SELinux/apparmor - по желанию, ибо если настроить раз, то потом на каждый системный чих надо отключать/править, что может подзадолбать.