...
1.1. Установите единственным устройством для загрузки ОС - жесткий диск куда была произведена установка ОС.
1.2. Установите "взломостойкий" пароль на BIOS ПК.
1.3 При возможности - установите и настройте АПМДЗ на ПК.
1.4 Обеспечьте невозможность физического доступа к жесткому диску на котором установлена ОС, или
или используйте доступные средства шифрования всего содержимого диска.
1.5 При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включите их.
1.6 При наличии на серверах "не доверенных" систем контроля и управления типа ILO,RSA,iDRAC,ThinkServer EasyManage,AMT,iMana - их необходимо отключить, и использовать при необходимости альтенативные решения типа IP KVM.
1.7 Включите secureboot на платформах где это возможно согласно инструкции.
2. Для Intel платформ
2.1 Необходимо устранить уязвимости Intel-SA-00086 в Intel Management Engine(если он инегрирован в процессор) посредством посредством установки обновления микропрограммы Intel Management Engine (производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
Более подробно:
https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html
...
4. Настройте загрузчик на загрузку ядра GENERIC и уберите из меню все другие варианты загрузки, включая режимы восстановления.
4.1 Установите "взломостойкий" пароль на загрузчик Grub (устанавливается по умолчанию при установке ОС).
...
Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями noexec,nodev,nosuid
6. Установите "взломостойкий" пароли на всех учетных записях в ОС.
...