Esta é uma pergunta muito boa, mas a resposta é muito difícil.
Primeiro, para começar, @Timothy Truckle tem um bom ponto de partida. Você executaria seu próprio repositório apt onde sua equipe de segurança poderia verificar cada pacote. Mas isso é apenas o começo.
Em seguida, você deseja implementar grupos. Você deseja que os usuários possam fazer as coisas de que precisam sem muita ajuda do suporte. Mas, no setor bancário, você realmente quer que as coisas sejam bloqueadas. De fato, em muitas estruturas corporativas, você quer bloquear as coisas. Portanto, conceder privilégios normais aos usuários sudo em qualquer nível provavelmente está fora.
O que você provavelmente faria é definir as coisas para que determinados grupos não precisem de permissões elevadas para realizar seus trabalhos.
Novamente, na maioria dos ambientes corporativos, a instalação de software é algo que pode fazer com que você seja demitido, de modo que não é um não. Se você precisa de um software, você chama de TI e ele faz isso por você, ou há uma cadeia de requisição ou algo assim.
Idealmente, você nunca precisaria de um funcionário normal para instalar qualquer coisa ou precisar de permissões elevadas.
Agora, para desenvolvedores, a questão é um pouco diferente. Talvez eles precisem instalar e talvez precisem de sudo. Mas suas caixas estão na "rede de perigo" e NUNCA podem se conectar diretamente a sistemas críticos.
A equipe de TI / Suporte precisará do sudo. Mas você pode limitar o acesso do sudo por comando ou processo (papelada) ou outros meios. Pode haver volumes inteiros sobre coisas como o "2 olhos principais" e como implementá-lo. Mas os logs de auditoria existem e podem ser configurados para atender à maioria das necessidades.
Então, voltemos à sua pergunta. A resposta de Timothy Truckle está 100% correta, mas a premissa para a sua pergunta está errada. Proteger um sistema operacional Linux é muito mais sobre como escolher as configurações necessárias para seu caso de uso específico e menos sobre uma ideia geral de como proteger as coisas.