O Snort pode ter muita fome de memória, o que em um VPS pode ser um problema. Ele pode funcionar bem ao lado do ossec - os dois estão incluídos no Ossim, o que correlaciona eventos de infosegurança de várias fontes.
Eu diria que é provavelmente um exagero para um único VPS embora. Se você mantiver todo o seu software atualizado contra quaisquer versões de segurança, tiver boas configurações, use log de tripwire e monitor, então você está fazendo um ótimo trabalho. E se você está protegendo uma rede inteira, então eu consideraria rodar o ossim em uma caixa dedicada.
Se você estiver usando o Apache, considere mod_security para ajudar a proteger os scripts potencialmente vulneráveis que você está hospedando. E, finalmente, seja proativo na segurança, examinando sua caixa em busca de vulnerabilidades com algo como o Nessus.