Alle niet noodzakelijke programmatuur is gedeactiveerd.

Standaard systeem accounts zijn geblokeerd en hebben geen interactieve shell.

Voor alle gebruikers is een standaard umask ingesteld (van maximaal 022).

De binnen de organisatie vastgestelde wachtwoordpolicy wordt technisch afgedwongen op het systeem.

Voor het beheer van het systeem wordt gebruik gemaakt van een versleutelde verbinding (bijvoorbeeld SSH).

De SSH-service dwingt het gebruik van Protocol 2 af.

Beheerders die voor systeemonderhoud gebruik maken van een versleutelde verbinding (bijv. SSH) zijn niet in staat om met behulp van onversleutelde verbindingen (bijv. FTP) bestanden te transporteren.

Root is het enige systeemaccount waarvan het userid "0" is.

De passwd en group bestanden zijn door alle gebruikers in te zien, maar enkel door de gebruiker "root" te wijzigen. Het "shadow" bestand kan enkel door de gebruiker "root" ingezien en gewijzigd worden.

Om te voorkomen dat het systeem gebruikt wordt voor het routeren van verkeer is IP forwarding uitgeschakeld.

Om te voorkomen dat systeemgebruikers elkaars bestanden kunnen wijzigen of verwijderen, zijn world writable directories voorzien van een zgn. sticky-bit.

Het PATH van root bevat geen "." of world/group-writable directories.

Buiten de eigenaar en de eigenaarsgroep heeft niemand toegang tot de homedirectorie van een gebruiker.

De homedirectory van de gebruiker "root" is niet toegankelijk voor de overige systeemgebruikers.

Het systeem schrijft geen coredumps weg in world readable directories en/of bestanden.

Grafische X-Windows software is noodzakelijk voor het systeemonderhoud. Deze X-Windows applicatie is niet aan een TCP-poort gekoppeld.

Indien er een grafische beheerinterface is geinstalleerd (zoals CDE, KDE, Gnome), start na 10 minuten inactiviteit een met een wachtwoord beveiligde screensaver.