Proteger um servidor da Web é um tópico grande, mais adequado para um livro (ou uma série de livros) do que uma resposta do Stack Exchange. Com isso dito, vou abordar alguns pontos.
but what it doesn't talk about is protection from viruses, malicious code, and brute forcing from behind the network firewall.
Em geral, não nos preocupamos muito com infecções por vírus no Linux. A porcentagem de destino dos computadores é muito menor, os sistemas de permissões (e coisas como o SELinux) ajudam a evitar muitos problemas que surgem, e a instalação de software apenas de repositórios de software confiáveis ajuda a reduzir essa ameaça.
Mantenha seu servidor atualizado, inscreva-se na lista de comunicados de segurança do Ubuntu e não Não execute software não confiável. E não desative o AppArmor .
Aconselhamento geral nos círculos de segurança é que, uma vez encontrado algum sinal de infecção, você deve eliminar (apagar) o servidor e começar do zero, em vez de tentar limpar qualquer infecção. Para este fim, você deve configurar (e testar!) Backups agendados regularmente. Também é uma boa idéia usar uma ferramenta de gerenciamento de configuração (eu gosto de Ansible ) para todas as suas configurações, em vez de fazê-lo manualmente , para que você possa abrir outro servidor instantaneamente.
Uma recomendação final que tenho é instalar o fail2ban . É mais frequentemente usado para proteger contra tentativas de força bruta de SSH, mas também vem com arquivos de configuração para vários outros serviços comuns de rede forçada por brute. Se você usar o Ansible, a configuração ficará muito mais fácil devido à presença de funções que podem ser incluídas no repositório da comunidade .
I should be relatively safe for an unindexed web server
Existem bots constantemente verificando todo o espaço de endereços IPv4 conhecido para servidores, então você nunca deve presumir que simplesmente porque o seu servidor não está publicamente ligado a ele, ele não será encontrado.