SSH auf einen anderen Port ist auch keine schlechte Idee. Bringt zumindest den Vorteil, das das Grundrauschen der Skriptkiddies wegfällt und man dann besser in den Logs sieht, wenn wirklich jemand rein will
Ansonsten: alles was drauf installiert wird, immer aktuell halten. Wenn was nicht mehr benötigt wird: weg damit.
Dann ist schonmal ein gewisses Level an Sicherheit erreicht.