Un buen punto de partida es utilizar LES (Linux Environment Security).

# wget http://www.r-fx.ca/downloads/les-current.tar.gz
# tar xvzf les-current.tar.gz
# cd les-*
# ./install.sh

Ejemplo:

# les --secure-bin on
# les --secure-bin off

La ayuda nos da:

-da | --disable-all       Disable all options
-ea | --enable-all        Enable all options
-sb | --secure-bin        Set root only execution of critical binaries
-sp | --secure-path       Set root only traversal of critical paths
-sr | --secure-rpmpkg     Set immutable on core rpm package binaries
-so | --secure-prof       Set immutable on interactive login profiles
-sd | --secure-devel      Set access to devel utils for group deva & root

Además, podemos securizar manualmente el archivo “services”:

# chattr  +i /etc/services

Añadir lo siguiente al archivo /etc/host.conf

# nano /etc/host.conf
order hosts,bind
nospoof on

Asegurarse que los usuarios que NO pertenecen al grupo Wheel, NO pueden acceder a los comandos scp, rcp, wget, lynx, links:

# chmod 750 /usr/bin/rcp && chmod 750 /usr/bin/wget
# chmod 750 /usr/bin/lynx && chmod 750 /usr/bin/links && chmod 750 /usr/bin/scp

Finalmente, podemos utilizar Bastille-Unix si sabemos lo que estamos haciendo, para dar una vuelta de tuerca más.