Защита хостинга от скрипткиддисов

Недавно взял на сервак дополнительный IP - с желанием установить на него виртуалочку для внимание предоставления бесплатного хостинга местному нищебродскому анону, т.к. ну просто дохуя свободного места и памяти простаивает. Само собой, мне не хотелось бы чтобы данная виртуалочка превратилась в вирусо-цп-спамо-рассадник, поэтому реквестирую советов по конфигурированию системы таким образом, чтобы меня не послал на хуй мой собственный хостер за действия анона. В общем, как сделать так, чтобы никаких таких действий он совершить попросту не смог?

>>539
>как сделать так, чтобы никаких таких действий он совершить попросту не смог?
Сервер запереть в сейф, ключ выкинуть. Затем в большой ящик поместить сейф, забетонировать. Оставшееся закопать как можно глубже.

>>539
Если сервачок у Hetzner, то сразу забудь про какую угодно абузоустойчивость.

>>542
Спасибо, слышали. Тем не менее, простаивающие 30 гигов памяти мне спать спокойно не дают - собственно говоря к этому тред и создан...
Даже давай так - детей-неадекватов я выпалю и без технических средств, но вот ваши ёбаннные дырявые движки меня сильно беспокоят (каждый день на фрилансе по нескольку зараженных вродпрессов/джумл появляется). Как на максимально абузоисполнительном хостере, готовым ебать тебя неделю, если ты не ответил на их письмо в течении часа, предоставить хостинг под управлением бесплатного говна со встроенными бэкдорами?

>>539
>спам
После первого появления в спам-базах твоего IP у тебя просто заблокируют 25 порт и всё.

Гуглишь hardering Linux, делаешь по бест практис. Минимальные привилегии, хуе мое. Если беспокоит веб, то обмазываешься вафами. А так надо больше инфы, что будет на сервере

Nginx + ModSecurity
Symantec для Бубунты 20.04.
/var/tmp и /tmp монтируешь с noexec
Что с ЦП делать не понятно, можно прогонять наверное какой-нибудь NFSW детектор раз в неделю и палить отчет. Либо если заморочиться то можно по сигнатурам палить.