@Evv1L
— SSH только по ключам, защитит от медленного брутфорса
— фаерволл, не даст торчать в сеть чему-то, что торчать не должно
— регулярно обновлять систему. Обновления безопасности даже в Debian Stable прилетают быстро
— не работать под рутом, и запретить логин в него через ssh. Даже если утечет ключ (практически невероятный сценарий), придётся обойти ещё защиту sudo/doas
Это прям самые основы
Можно ещё заморочиться, и сделать алерты на какие то действия в системе (их отслеживает auditd)
@Evv1L а от 0-day защиты нет, на то они и 0-day >:D