Práticas recomendadas: entenda o que os servidores de produção fazem (internos profundos) e considere se seu "endurecimento" interferirá ou não no que eles fazem.
"Proteja" seus servidores de teste primeiro.
Uma ferramenta que eu gosto é de lynis de cisofy.com . É gratuito e não faz alterações, apenas aponta para vulnerabilidades.
Perceba que segurança / endurecimento é um processo, não uma tinta. Você não pode simplesmente aplicar uma vez (e ter sucesso).