Максимально кастрировать систему аля безопасность

Грубо говоря хост по сути должен стать огорожен по самое небалуй.

Настроить selinux. Виртуализовать все, что связывается с сеткой(сетевой адаптер пробросить), а сам гипервизор спрятать в какую-нибудь задницу, охраняемую злыми дядьками с квадратными челюстями. Залить все ненужные разъемы эпоксидкой, выкинуть из ядра драйвера от всего, что не будет необходимо для работы. Закрыть на семь ключей, колючую проволоку и обнести минным полем. мимо-воннаби-параноик

Если нужна только одна программа, то было бы хорошо делать так, чтобы у пользователя эта программа была указана в качестве оболочки, разумеется программа должна уметь работать в качестве оболочки.

Да про оболочку я подумал, следовательно надо запретить переключение виртуальных консолей +1 в записную книжку ))

Если ты описал все входные условия, то больше ничего не нужно.

XIP ядро + XIP фс + nx RAM

а exec something в .profile, защищенном от записи, не прокатит?

Не пробовал так. Хз

ограничь доступ к портам для новых подключений, прикинь сколько новых подключений происходит в час c одного IP и ограничь используя iptables:

добавь правила:

iptables -N ssh_brute_check
iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ssh_brute_check
-A ssh_brute_check -m conntrack --ctstate NEW -m recent --update --seconds 3600 --hitcount 3 --name DEFAULT --rsource -j DROP
-A ssh_brute_check -m recent --set --name DEFAULT --rsource -j ACCEPT

Поделись улыбкою своей

И она не раз к тебе еще вернется...