Primeiro de tudo, sim, você pode (você sabe disso a partir da resposta existente). Eu ainda gostaria de adicionar alguns aspectos. As versões de desktop e servidor diferem apenas pelos pacotes instalados por padrão ou configurados para serem instalados por padrão ( tasksel ), portanto, você pode fazê-lo.
Portanto, é possível executar um servidor de produção em uma "versão desktop" do Ubuntu, pois não há diferenças fundamentais, como, por exemplo, entre o Windows XP Pro (32 bits) e o Windows 2003 Server R3 (32 bits). para 64 GiB RAM nas edições mais caras. No Ubuntu você pode instalar um kernel que fala PAE e não define limites arbitrários (como edições mais baratas do Windows 2003) mesmo em configurações de 32 bits.
A questão maior deve ser se você pode executar servidores de produção em hardware de commodity. E a resposta é sim. Confira este artigo na Wikipedia . O Google executa a maioria de seus serviços nesse tipo de hardware, mas de forma redundante. Alguns anos atrás eles (Google) também publicaram algum estudo sobre a confiabilidade dos discos rígidos de desktop.
Portanto, depois de sabermos que o hardware de commodity não é o problema, seus requisitos sobre confiabilidade e os parâmetros conhecidos relativos a falhas de hardware esperadas devem governar sua tomada de decisão.
Uma alternativa "mais barata" (ou melhor: "mais leve") seria usar o LXC (Linux Containers). Imagine-os como uma etapa intermediária entre chroot (que nunca foi concebido para ser uma prisão como os respectivos conceitos no Solaris ou BSDs) e KVM. A LXC aproveita apparmor para conseguir isso, btw. A separação não é perfeita, mas dadas as vantagens, a compensação parece pequena.
Sobre a sua preocupação com o rootkit, não tenho certeza porque não pesquisei o tópico o suficiente. No entanto, os convidados do KVM são executados como processos do modo de usuário e você pode até permitir que cada convidado tenha sua própria conta, se desejar. Agora, partes do KVM devem obviamente operar no kernel do host, então existe uma chance de vetores de ataque existirem, eu me pergunto se o vetor de anexação permite que o código dos convidados surjam ...
Como você pretende tornar as coisas mais seguras usando apenas a linha de comando está além de mim, no entanto. Você tem todas as possibilidades (geralmente mais do que menos) que você tem através de uma GUI (KDE, GNOME, Unity, etc). Por isso, não dificulta o trabalho de instalar o host ou o convidado apenas como linha de comando. A razão para deixar de fora o X11 deve ser governada pelo uso (você diz "servidor", então não é óbvio) e os recursos disponíveis. Se o X11 não for executado, ele também não tirará recursos (exceto para espaço em disco).
