chkrootkit+rkhunter = и не надо никаких касперских.
Добавить в списки репозиториев обновления безопасности, регулярно накатывать обновления (обычно в графическом режиме она сама предлагает), при выходе новых версий ОС обновляться (лучше всего через месяцок после релиза). В отличие от RH-подобных, тут версию обновить можно на ходу, даже без перезагрузки (потом как-нибудь хорошо бы перегрузиться, чтобы новое ядро заработало).
Для перестраховки - если есть какие-то сервисы типа почты (на приём), ssh, vnc и т.п., то запретить вход по ssh по паролю (только ключ), поставить fail2ban.
Можно ещё logwatch/logcheck, чтобы в логи смотреть проще (они сами обо всём нестандартном/подозрительном расскажут). SELinux/apparmor - по желанию, ибо если настроить раз, то потом на каждый системный чих надо отключать/править, что может подзадолбать.
