Le 100% sécurisé ça n'existe pas car c'est une action permanente et pas un but. Personne ne peut dire, tiens mon serveur il est 100% sécurisé, et il le sera encore demain (à moins de lui couper le réseau...).
Bref c'est un process quasi quotidien, il faut suivre les mises à jour sans jamais attendre etc
Le seul OS (à ma connaissance) à faire un audit de code complet avant de l'intégrer à l'OS c'est OpenBSD. C'est pourquoi il est un peu plus sécurisé, mais avec moins de possibilité (sont pas si nombreux et l'audit demande du temps) RedHat/Fedora n'ont pas cette politique là, mais ils sont très strictes sur la compilation des logiciels, et les renforcent par des mécanismes à ce moment. Et ils intègrent SELinux. Tu as une liste ici
https://fedoraproject.org/wiki/Security_Features