Roteiro para segurança/proteção de servidor Linux Debian 8.x

O resultado final deste projeto deverá ser um documento contendo um roteiro de passos que precisam ser executados para proteger um servidor ligado diretamente na internet, com IP válido e sem outras camadas externas de proteção. O roteiro deverá ser executado sobre uma instalação mínima Debian 8.x, recém crida e poderá conter arquivos de scripts em anexo.
Este servidor estará rodando aplicações baseadas em SUN/Oracle JDK6 que responderão por requisições nas portas 80, 8080, 443, 8443 e 11000. O servidor fará requisições de saída na porta 14000. O servidor responderá e fará requisições (entrada e saída) na faixa de portas 50000 a 59999.
O roteiro deverá deixar claro como cadastrar outras portas e faixas de entrada e saída.
O roteiro deverá produzir efeitos como:
- Desabilitar a conta root
- Cadastrar uma conta normal sem privilégios (para utilizar o comando sudo)
- Desabilitar os acessos remotos não seguros (não SSH)
- Trocar a porta SSH
- Remover pacotes ou desativar serviços desnecessários mesmo para a instalação mínima do Debian
- Atualização de kernel e pacotes
- Desativar IPV6
- Ativar firewall para as portas TCP e sentidos de entrada/saídas não utilizados
- Proteger as entradas de /etc/password com atributo imutável
- Instalar fail2ban para proteger SSH
- Instalar antivírus
- Instalar proteção contra ataque rootkit
Caso o proponente entenda que outras medidas são necessárias, poderá sugeri-las, bem como questionar algum ou alguns dos efeitos sugeridos na lista acima.