In welcher Regelmäßigkeit Patches für bestimmte Linux-Versionen erscheinen und den Anwendern bereitgestellt werden, ist dabei ganz unterschiedlich. Die Analysten von Forrester Research fanden im vergangenen Jahr heraus, dass im Schnitt 32 bis 56 Tage vergehen, ehe ein Patch entwickelt und verfügbar ist. Klein führt dies darauf zurück, dass die hierfür nötigen Strukturen im Open-Source-Umfeld noch nicht so ausgeprägt sind wie bei der kommerziellen Konkurrenz.
Hat ein Unternehmen ein Minimalsystem erst einmal in Betrieb genommen und die Anwendungen installiert, gilt es als nächstes, die lokalen Angriffspunkte so weit wie möglich zu reduzieren. Dazu gehört beispielsweise, die Zahl der privilegierten Programme so gering wie möglich zu halten. Um welche es sich dabei im Einzelnen handelt, lässt sich nicht verallgemeinern, weil sich eine Red-Hat-Installation anders verhält als eine von Debian oder Suse.
Für ein noch höheres Maß an Sicherheit ist es möglich, den Kernel zusätzlich zu schützen oder bestimmte Zusatzfunktionen im Kernel zu nutzen. Das können Maßnahmen sein, die die Ausnutzung bestimmter Speicherschwachstellen wie Buffer Overflows, Integer Overflows oder Format-String-Fehler erschweren. Ein Beispiel hierfür sind Kernel-Erweiterungen wie die "grsecurity"-Patches. Diese unterbinden unter anderem die Ausführung von Programmcode innerhalb verschiedener Speicherbereiche und platzieren die systemweiten Bibliotheken bei jeder Programmausführung zudem an einen nur schwer vorhersagbaren Speicherbereich. "Dadurch wird es für einen Angreifer extrem schwer, diese Schwachstellen auszunutzen", erläutert Sicherheitsexperte Klein.