Инструмент, который помогает мне быть разумным на полномочиях?

Очевидно, существуют типичные книги по системному администрированию Linux относительно полномочий. Но, который действительно не отвечает на Ваш вопрос. Я рекомендовал бы следующее:

• используйте a find управляйте для поиска "мировых перезаписываемых файлов"
• используйте a find управляйте для поиска "setUID и setGID файлы"
• используйте безопасность системы сканирующий или укрепляющийся инструмент для проверки системы на уязвимости существуют тонны их доступных, лучшая страница, которую я видел, список их от YoLinux

Инструменты аудита безопасности YoLinux

Я рекомендовал бы Bastille-linux и Nessus. Что касается находки управляет, чтобы простой поиск в сети поднял их. Кроме того это прямо читает и смешивает с Вашей системой.

Править: Очевидно, Вы не хотите обязательно изменять полномочия на мировых читаемых или перезаписываемых файлах или setUID, двоичных файлах GID. Для многих программ нужно, им нравится passwd и уже заблокированы вниз, чтобы не быть годным для использования. Необходимо будет провести исследование, чтобы видеть, нужны ли системе они.

Также постарайтесь не устанавливать полномочия слишком подробно по умолчанию. Никакая потребность дать other полномочия, если этому не нужен он. Группы установки и не отбрасывают всех в users если Вы не имеете к. Не экспортируйте доли NFS в * и читайте на root_squash если Вы смешиваете с NFS.