Se você está classificando seu sistema como um ativo de alto valor, eu diria que os padrões não são suficientes. Eu recomendaria baixar e ler os benchmarks do CIS para o Debian e Apache e implementar as recomendações de proteção. Mais especificamente, os logins 'root' são permitidos no servidor SSH, o que é realmente estúpido. Anexado é um link para o site onde você pode baixá-los.