1. Atualize tudo
apt update && apt upgrade -y
2. Secure ssh
grep -P ^Pass /etc/ssh/sshd_config
PasswordAuthentication no
3. Configure o iptables (ou ufw, etc) para permitir apenas ssh e https
apt install -y iptables-persistent
iptables --flush
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 255 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
iptables-save > /etc/iptables/rules.v4
ip6tables --flush
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -p ipv6-icmp -j ACCEPT
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT
ip6tables -A INPUT -j REJECT
ip6tables -A FORWARD -j REJECT
ip6tables-save > /etc/iptables/rules.v6
4. Impeça o apache de executar scripts (PHP, etc) ou certifique-se de que seu código seja bom.
5. Use backups off-line, segurança em camadas, sistemas de detecção de intrusão, codificação de disco completo, computadores isolados por tarefa.
6. Use análise estática
6. Eduque-se ...