Однажды я озадачился вопросом, как быть, если контора, которую слегка админил, внезапно "кинет". Потому был собран немалый "арсенал".
Одно из интересных решений - "стучалки". Принцип действия - специальный демон постоянно мониторит некоторые порты (tcp/udp, даже закрытые). При попытке подсоединиться к этим портам в нужном порядке отработает заранее заданная команда. Например, если указать порты 24, 8001 и 44, то, после подключения именно к этим портам (порты, которые закрыты так и будут закрытыми) именно в таком порядке выполнится заданная команда. Есть вариации doorman/knockd, существует под linux и bsd, мануал по настройке легко ищется в яндексе по запросу knockd.
Недостаток: потребуются, естественно, права root.
Достоинства: права, даже ниже, чем nobody (не требует установки соединения), редко кто шарит в этих демонах и, при приёме сервера (если его надо сдать) не найдёт ничего криминального, в логах не будет никаких записей, сверхвысокая надёжность (вероятность того, что злоумышленник "угадает" правильность портов - не выше [3.5e-13]%), не требует особого клиента - достаточно telnet (для tcp портов).
Аналогичным образом можно оставить бэкдор, который откроет рутову шелл на нужном порту.