Sì, anch'io tempo fa lessi di come "blindare" il sistema. Tra i consigli dicevano di mettere le cartelle degli eseguibili (solitamente usr/bin e usr/sbin, se non ricordo male) su partizioni montate in sola lettura e di montarle in lettura/scrittura per il tempo dell'installazione di nuovo software e poi rimontarle in sola lettura, per evitare che eventuali root-kit si possano annidare nel sistema.
Però son cose che all'atto pratico, su un PC di casa, nessuno fa.