@Evv1L
— SSH только по ключам, защитит от медленного брутфорса
— фаерволл, не даст торчать в сеть чему-то, что торчать не должно
— регулярно обновлять систему. Обновления безопасности даже в Debian Stable прилетают быстро
— не работать под рутом, и запретить логин в него через ssh. Даже если утечет ключ (практически невероятный сценарий), придётся обойти ещё защиту sudo/doas

Это прям самые основы

Можно ещё заморочиться, и сделать алерты на какие то действия в системе (их отслеживает auditd)