Список уязвимостей:
1. Set a password on GRUB boot loader to prevent altering boot configuration (e.g. boot in single user mode without password) [BOOT-5122]
2. Install a PAM module for password strength testing like pam_cracklib or pam_passwdqc [AUTH-9262]
3. Consider hardening system services [BOOT-5264]
4. When possible set expire dates for all password protected accounts [AUTH-9282]
5. Enable auditd to collect audit information [ACCT-9628]

По 1 - достаточно задать пароль на GRUB для запрета модификации параметров загрузчика при холодном старте устройства.
2 - достаточно установить один из предложенных модулей PAM.
3 - выполнить `systemd-analyze security UNIT` и настроить конфигурацию юнит файлов в соответствии с выводом.
4 - установить срок жизни для всех паролей пользователей в системе, устаноить обязательное требование смены пароля при истечении срока жизни пароля.
5 - задать правила для аудита поведения системных и пользовательских сервисов и ПО с выводом в системный журнал.

В целом все предупреждения от Lynis связаны только с возможностью эксплуатации при получении физического доступа к устройству или при заражении устройства через запуск ПО с вредоносной нагрузкой.
Исправление большей части предупреждений Lynis приведет к затруднению эксплуатации уязвимостей при физическом доступе к устройству.
Вынос загрузчика на внешнее устройство и использование шифрования для корневой ФС дополнительно сократит векторы атаки на устройство.