Amit én hozzátennék, az nem kimondottan biztonsági megoldás.
Szerintem a legtöbbet akkor tudod tenni a rendszereidért (ideértve a biztonságosságukat is), ha szépen, rendezetten, áttekinthetően tartod őket. Szerintem pl. célszerű:
- ugyanazt a disztribúciót használni egy rendszer összes gépén
- kihasználni a disztribúció nyújtotta lehetőségeket és megoldásokat (pl. majdnem minden disztribnél különbözőképpen van megoldva az apache vhostok kezelése, mindegyik jó megoldás, szerintem érdemes ahhoz ragaszkodni, amit a disztrib ajánl)
- frissen kell tartani a rendszert, nincs olyan, hogy "jajj, ne frissíts, mert hátha elromlik tőle az XY alkalmazás" - ha elromlik, akkor általában az alkalmazás a szar, nem a disztrib (ebben vannak kivételek, de ritkák)
- nem használni a disztribúción kívüli csomagokat (ideértve a külső repository-kat és a saját fordítású dolgokat is - ezek több kockázatot hoznak, mint amennyit elhárítanak)
- ragaszkodni az architekturális felépítés tisztaságához (pl. nem rakni még egy adatbázist a webszerverre, mert éppen olyan kedve van valakinek, meg nem felmountolni a webszerver 1-2 könyvtárát NFS-en át az adatbáziszerverre csak azért, mert valamire éppen kell - ha ilyesmi gányolás kell, akkor ott valahol mélyebben van a hiba)
Szerintem ezek a dolgok hosszú távon többet segítenek, mint egyszer hozzáértés nélkül felrakni egy grsec-et, aztán nem frissíteni rendszeresen és várni, hogy majd biztonságos lesz a dolog.