Le truc surement plus utile et qu'on voit assez souvent c'est de mettre quasiment tout le systeme en lecture seule. Cela évite les modifications malveillantes, que des backdoors modifient certains fichiers etc.
Mais pour revenir à ta question, (une méthode simple) tu peux monter le /home en noexec, comme ça le peu d'utilisateurs qui se connecteront ne pourront pas executer des binaires qu'ils auraient déposés. Ce sera facile à contourner mais bon, sauf à bien confiner les utilisateurs dans des chroots (évolués ou pas).
Je pense que tu as déjà pas mal de piste maintenant. SELinux complète toutes les mesures de sécurité habituelles, il ne les remplace pas. Je travaille régulièrement sur des mises en conformité pour la sécurité et autres, d'où mes doutes sur le besoin, mais regarde ce qui se fait côté
ANSSI ou
PGSSI (genre le DICPA par ex), car la sécurité c'est vraiment un process continu, pas une finalité. Il y a aussi les outils
openSCAP autour de SELinux (peut-être plus orienté RHEL/CentOS tant il est rare de voir Fedora pour ce genre de besoin). En tout cas bon courage !