Em relação a "bloquear com políticas de firewalls ruins", geralmente eu configuro um cronjob de 5 minutos com um script que redefine a configuração do iptables:
#!/bin/sh
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
Desta forma eu posso testar remotamente as configurações do iptables sem medo de ser bloqueado.
Na verdade, quando modifica uma configuração existente, você pode configurar um cronjob para fazer uma restauração do iptables com o conf padrão de trabalho conhecido.
Quando tiver certeza de que o conf funcionará, simplesmente exclua o cronjob (ou comente-o para uso futuro).
Tenho certeza de que você pode encontrar soluções para todos os outros serviços. Por exemplo, você pode criar um script para restaurar a configuração do sshd, configurar um cronjob para restaurá-lo em, digamos, 10 minutos , modificar o confing em execução e se não funcionar (e ser expulso) aguarde o trabalho para restaurar sua configuração antiga de trabalho.