In teoria questa domanda potrebbe andare in sicurezza, ma essendo molto legata all'ambiente Linux forse trova più risposte qua.

Mi pare che dovrebbe essere una buona pratica isolare i servizi in gabbie che limitino il range di azione di un eventuale intruso.
Le soluzioni sono principalmente quelle basate sulla chroot, ma mi pare che, con degrado di prestazioni, anche la virtualizzazione con UML (o XEN) possa raggiungere lo scopo.

Obiettivo principale dovrebbe essere impedire di fare danni all'esterno.

Ma se una macchina è interamente dedicata a fare da server per una sola applicazione (ad es. basata su Apache+Tomcat+MySQL), ha senso provvedere in tal senso?
Quello che voglio dire: se compromettono la macchina arrivando al chroot in cui gira Apache, non possono comunque caricarci quello che serve per espanderne le funzionalità, ovvero usare la macchina come server illegale o come base per attacchi ad altre macchine?
Visto che comunque quella macchina non fa altro, il danno non è comunque paragonabile a quello che avrebbero potuto fare con una installazione normale?

Vi fidereste a reinstallare solo la chroot senza reinstallare tutta la macchina?

bhe dipende dal tipo di attacco e dal tipo di privilegi acquisiti....
la gabbia ormai la ritengo fondamentale, almeno nelle mie installazione sui servizi piu comuni è quasi la prassi, tuttavia in azienda non è cosi.......

io personalmente seguo la strada paranoica usando grsec e servizi compilati con ssp ove possibile... firewall tosti con controllo sui flags ecc... tunnel ssh o stunnel per collegamento database e/o proxy ecc..
poi come da manuale se segui uno schema di partizionamento corretto e via dicendo sei al riparo dalla maggior parte di attacchi.

ovviamente il top sarebbe snort-inline con signature e predizione di attacchi messo in modo trasparente sul segmento di rete ad analizzare..

vedi tu