Могут ли быть безопасные VPS?

Всё правильно понимаешь. Почти. На 100% уверенности в безопасности VPS не может быть вообще, поскольку у ты не можешь быть уверен в отсутствии закладок в железе.

если есть VNC-консоль, а она есть всегда - на KVM можно поставить любую ОС, какую душе взбредет, немного поизвращавшись с grub'ом.

Зависит от того какая безопасность нужна, в последний стадии это оборудование, приведённое на своём заводе, расположенное в своём бункере и так далее.

Никогда не понимал «закладок в оборудовании», если честно. А если мое оборудование в клетке Фарадея находится, а из него только ethernet торчит и кабель питания? Как это оборудование тогда вообще можно «увидеть»? Я молчу про удаленное подключение и вообще нахождение этого самого оборудования (потому как ни одному здравому человеку не придет в голову, помещать свой ПК в клетку Фарадея для защиты от шпионов на квадрокоптерах под окном)

Хм, то есть можно и свой образ залить, верно?

Могут ли быть безопасные VPS? (комментарий)

Да. Смотри, как грубом грузить исошки.

Никогда не понимал «закладок в оборудовании», если честно. А если мое оборудование в клетке Фарадея находится, а из него только ethernet торчит и кабель питания? Как это оборудование тогда вообще можно «увидеть»?

Прошивка железки может, например, сама отправлять запрос на заданный сервер в случайный день и время каждый январь, а ответом получать необходимый код или просто символ от «а вот сейчас зависаем» до «а вот теперь весь исходящий трафик дублируем сюда». Теоретически это реализуемо. При этом ты, конечно, можешь на каком-то девайсе между сетью и целевым девайсом смотреть весь трафик, что там оно и куда шлёт, но действительно ли ты там увидишь один «левый» пакет в какой-нибудь один день месяца/года? Ну это чисто как пример, а так сделать можно по-разному. Ну и да, никто не помещает компьютер в клетку Фарадея.

А если мое оборудование в клетке Фарадея находится

Даже если нет контактов с внешним миром, то есть возможности с самоуничтожением через определённое время, реакции на специальную последовательность инструкций, да хоть случайные ошибки в случайные моменты времени тоже могут быть не случайными. И мировая история прецеденты знает.

А куда он, пакет этот, полетит, когда в белом списке только доверенные ip, например? Хотя если хорошо подумать, никто не запретит слать UDP пакеты с неверным ip, то есть по сути провайдер может услышать его. Но это так же можно решить доверенным промежуточным устройством(руками) между ПК и провайдером.

Решить можно. В принципе на любую возможную дырку можно найти то или иное решение. Другое дело, что чем больше для этих самых дырок (как реальных так и потенциальных), тем больше шансов что-то да упустить из виду.

Я правильно понимаю, безопасная VPS может быть только в случае если сделал ее сам?

При-чём в процессе надо носить шапочку из фольги. твой уровень притязаний уже приближается к этому головному убору