Спасибо за ссылку, почитаю. Но во всех статьях пишут очень обобщенно, детализации пока не видел. Сравнить мне надо SlackWare с RedHat в плане их защищенности.

Может немного не в тему, но с каких пор FreeBSD - это linux????

после установки на сервере у linux gentoo никаких бажных и левых не будет, очень защищённая вещь

Gentoo Linux 2004.2, stage3, ставится дырявый suidperl, про дырявые линуксовые ядра это отдельный разговор, _обновлений_ безопасности у Gentoo нет(обновление безопасности - устранение проблемы без изменения версии пакетов- обязательно нужно устанавливать новую версию пакетов, в которой, помимо исправления баг, также изменен функционал, а это потенциальные глюки и необходимость переконфигурирования обновленного ПО), glsa-check пока в зачаточном состоянии, дистрибутив еще молодой, зеленый. Хотя на десктопе сам использую Gentoo, но на сервера его рано ставить ИМХО.
На сервера Debian, RHEL-сборки из сырцов вроде CentOS, SLES и RHEL лучше подходят - зрелые обкатанные дистрибутивы с обновлениями, не изменяющими версии установленных пакетов. В Gentoo stable как testing в Debian.
Примеры: обновление baselayout в Gentoo до текущего stable(это единственный способ исправить ошибки безопасности) - слетает туча настроек(пар-ры сети, хостнейм, часовой пояс), т.к. половина конфигов пошла в /etc/conf.d/ в т.ч. половина rc.conf, либо обновление апача до 2.0.53 - также требовалось раскидывание и изменение конфигов, чтобы апач поднялся - кому нужны эти лишние телодвижения на сервере после регулярных обновлений для устранения проблем безопасности?

Ну а я запускал emerge с парой десятков пакетов на домашней машине, после чего машина утром автоматически выключилась, а после ее запуска вечером отвалилось все - и сеть и фонты в консоли и время, и у еще одного знакомого гентушника фонты отваливались после апдейта - не увернулся при обновлении. Это нормально? Или процесс сборки, та же рулетка - соберется или не соберется, особенно если с SSP.

Фряшники чего-то меняют при наложении секурити апдейта с последующкй пересборкой дырявого компонента? Ты что-то путаешь - применяется патч к сырцам системы(или cvsup до RELENG ветки) и пересобирается дырявый компонент, ни версия ни конфиги дырявого компонента не меняются.

Я не ругаю Gentoo - просто высказываю свое мнение насчет того, что генту на сервере это гимор, на основании собственных наблюдений на своей машине, обновлял я ее часто в течение года и отмечал то как временами из-за порушенных скриптов(doins) обновления вставали вообще криво, о том как стейбл апач с SSL "из коробки "не мог стартануть и фиксили это полгода, о слете всех настроек при обновлении baselayout(там не только симлинки - там нужно из rc.conf выносить настройки в отдельные файлы, и сделано это только _для_красоты_, grep rc.conf anymore /etc/init.d/*), неоднократно наблюдал несобираемые или собираемые и потом глючащие порты(например c -fPIE, к-рый нужен для prelink, по дефолту hardened gcc выставляет этот флаг), особенно если собирать безопасную систему с SSP.
В моем понимании в серьезном серверном дистрибутиве должна существовать  ветка, в которой версии ядра и пакетов текущего релиза заморожены и происходит только устранение критических ошибок и ошибок безопасности, и никакого глючного новья как в Gentoo не суют, обновление должно осуществляется _безгиморно_ (emerge sync  emerge -du world не гарантирует этого - зачастую необходим ряд дальнейших телодвижений с rc-update, etc-update, если, конечно, повезет и пакет соберется, а если соберется).
Нормальный серверный дистрибутив не должен нагружать админа лишней бессмысленной работой и создавать проблемы во время эксплуатации - сервер должен быть установлен, первоначально настроен и в течение срока поддержки текущей версии дистрибутива должен только обновляться(желательно автоматически) и конфигурироваться при необходимости загнать юзеров, вхосты, днс записи и т.п.(и никаких сюрпризов с изменившимся после обновления поведением демонов, новыми опциями, исключением старых опций, перемещения конфигов, исполнимых фалов и т.п.!!!) при чем обновление должно выполняться не просто, а очень просто - без переконфигурирования, выноса настроек куда-то в другой конфиг, переименования конфигов, пересборки зависимых пакетов или удаления deprecated stuff из конфигов и прочей ерунды, которой постоянно радует Gentoo, т.е. без всего того, что мешает автоматизации обновления и создает лишнюю работу админу, и вообще не должно быть неопределенности от того, соберется ли данный пакет с данными флагами данной версией gcc или нет(могу привести массу примеров когда из-за gcc 3.4.3, из-ха hardened gcc и т.д. пакеты не собираются). Изменения в конфигах должны производиться _только_ при необходимости переконфигурации сервера, а установка новой версии пакета, когда это действительно очень необходимо, должна производиться вручную из ветки вроде testing.
Примеры нормальных серверных дистрибутивов: Debian, RedHat, SuSe.
Для Cpu/mem/quota management - подходит любой дистр, а насчет 50% i/o и wsfq так это для экспериментаторов, которым хочется наловить OOpsов или kernel crash-ей с плохоотестированным экспериментальным патчем, воткнув его на сервер. Кому-то ловить оопсы, ребутить сервера и разгребать новые глюки, изучать особенности поведения новых пакетов на серверах после обычного обновления, возможно, и доставляет удовольствие, а у некоторых пяток серверов работает в режиме 24/7 и отпадание сервисов даже на пять минут или ребут попросту недопустимы с 5:00 до 24:00 и в ночное время также нежелательны.

если ударить молотком по пальцам - будет больно. но ведь им ещё и гвозди забивать можно =)

причём тут это? если ночной бэкап укладывает весь disk bw  твоего сервера, то не бекапиться?
я говорю о том что более-менее совершенной ос нет. вот и все. Приходится выбирать из худшего.