ざっとふだんの動きをチェックしてみました。あくまでサーバもしくはそれに類したマシンのみの話ですが。

• apt-get update;apt-get upgrade securityを1日1回は実行
• Advisoryが流れたタイミングでapt-get update;apt-get upgrade securityを実行

というあたりですかね。メンテナンスが面倒なんで、クリティカルなものをDebianにしたというのもあるんですが、快適。あとは、

• 不要なポートは開けず、あいてるポートで動かしてるサーバプログラムのセキュリティ情報をチェックする
• 外部にヘタにさらすようなことはしない

というあたりかなぁ。
サービスポートを変えるのは、ピンポイントでクラック候補にされるような場合はあまり有効ではないかと…。＞誰となく