O básico é:
- apenas ativando / instalando os serviços de que você precisa
- Restringindo o acesso a esses serviços sempre que possível usando um firewall
- Configurando os serviços adequadamente (por exemplo, desativando o acesso root ssh)
- Garantindo a disponibilidade de mecanismos para verificar e instalar patches
Observe que a mensagem para levar para casa aqui é que a segurança não é sobre o software que você instala - é sobre como você o configura e gerencia.
Há outras coisas que valem a pena considerar:
- usando o fail2ban para bloquear o acesso desonesto (especialmente para o ssh)
- executando o rkhunter (ou similar) regularmente
- mantendo um IDS baseado em host, como tripwire / lids / l5
Logs são úteis como uma ferramenta de diagnóstico / post-mortem - mas do ponto de vista de segurança, eles apenas mostram onde sua segurança está funcionando como esperado (isto é, manter os caras maus de fora). O Fail2ban é uma ferramenta muito útil e depende dos logs - mas estou longe de estar convencido de que existe algum outro uso para logs em prevenção de um ataque.