
SELinux/AppArmor, CIS benchmark e cifratura: il Linux di produzione si blinda per policy, non per fortuna.
Il Linux sicuro non è quello senza virus: è quello indurito per policy. SELinux (o AppArmor) in enforcing — il processo compromesso resta nella sua gabbia — le baseline CIS applicate e misurate (OpenSCAP), la cifratura (LUKS) sui dati, SSH ridotto all'osso, e le CVE prioritizzate per esposizione reale, non per titolo di giornale.

SELinux acceso con metodo (audit, tuning, poi enforcing): la sicurezza che non rompe l'applicazione.
OpenSCAP schedulato sul parco: il report di compliance che guida le remediation.
La CVE sul servizio esposto prima di quella sul pacchetto inerte: il patching intelligente.
sudo granulare, chiavi ruotate, sessioni tracciate: chi fa cosa, sempre scritto.
Web e API con la gabbia SELinux attiva.
Le baseline con le evidenze, generate dal processo.
L'hardening serio dopo (o meglio: prima) della lezione.