-dnscrypt einrichten, um Lücke von DNSSEC zu schliessen
-Domain mit DNSSEC sichern
-separates Handy-WLAN mit restriktiver FW, weil Handys nicht sicher zu kriegen
-LibreBoot auf Laptop flashen
-damit freies WLAN-Chipset z.B. Atheros einbauen,
oder auch ohne Libreboot nicht kompatible Grafikkarte
-GSM-Karte aus Laptop ausbauen, aua...
-systemd deinstallieren oder gleich sowas wie Alpine Linux installieren
-Kernel mit KSPP, entweder ganz ohne Module oder signiert
-Compiler nur für root zugänglich
-Apparmor-Profile für alle Dienste anpassen und auf enforce setzen
-auditd installieren, konfigurieren
-rkhunter installieren, einrichten
-firewall einrichten
-Moduli<1024 aus /etc/sshd/moduli löschen
-Starke ciphers für alle Dienste von cipherli.st einstellen
-arpon installieren, konfigurieren
-OSSEC installieren, Prüfsummen auf read-only-Medien sichern
-taegliche Audits mit Lynis
-Browser mit firejail als anderer User an XServer andocken
-Thumbnailer ausschalten