Защита VPS | сервера ( метод Параноика)

Тут я пока считаю лучшим вариантом установить linux-hardened (по умолчанию включены многие настройки безопасности) и не устанавливать linux-firmware, потому что для VPS он не нужен.

Нет смысла их искать. Если даже хостер не даёт подключать iso, думаю, ты сможешь установить нужный тебе дистрибутив прямо из запущенного дистрибутива, который даёт тебе хостер (я так делаю).

Libreboot всё-таки не про VPS из-за буквы V в этом слове. Уже хорошо, если хостер тебе даёт возможность включить UEFI с Secure Boot. У тех, что я видел, даже этого нет (только загрузка через BIOS). Использование GRUB для расшифровки никак не защищает от буткитов. С таким же успехом можно расшифровывать диск самим ядром. Виртуализация в этом плане сильно ограничивает возможности по сохранению приватности данных.

Кажется, я смотрел это видео или его пересказы. Точно помню, что в одном в качестве аргумента за doas приводилось сравнение количества найденных уязвимостей в sudo и doas. Конечно, разница была существенной, но пользователей и исследователей sudo кратно больше, поэтому неудивительно. То есть это не исключает того, что в doas есть уязвимости (возможно, их пока некому искать).

Да, без проблем. По ссылке, которую я приводил, это тоже есть.

AuthenticationMethods publickey,password

Ты можешь и больше факторов использовать (например, два ключа и пароль) или комбинировать разные двухфакторки (два ключа либо ключ и пароль). В документации можно про это почитать.

Кстати, если ты любитель doas, то, возможно, есть смысл присмотреться к tinyssh:

Спойлер
tinysshd is a minimalistic SSH server which implements only a subset of SSHv2 features.

tinysshd supports only secure cryptography (minimum 128-bit security, protected against cache-timing attacks)

tinysshd doesn't implement older crypto (such as RSA, DSA, HMAC-MD5, HMAC-SHA1, 3DES, RC4, ...)

tinysshd doesn't implement unsafe features (such as password or hostbased authentication)

tinysshd doesn't have features such: SSH1 protocol, compression, port forwarding, agent forwarding, X11 forwarding ...

tinysshd doesn't use dynamic memory allocation (no allocation failures, etc.)

У тебя хороший вариант, если провайдер выдаёт тебе статический адрес, но для большинства людей это не так (кому-то вообще нужно иметь возможность подключаться из разных сетей), поэтому если паранойя несильная, то я бы так настроил (вместо 22-го порта нужно использовать порт для ssh):

# ufw default deny
# ufw allow 443/tcp
# ufw limit 22/tcp
# ufw enable

Ещё можешь эту тему почитать (есть интересные идеи): Гайд по ограничению ssh на vps.

Ну тут тоже надо меру знать. Лучше популярные фразы не использовать, атаку по словарю они могут не пройти.

HTTPS, нужно только довериться :wink:. Если параноишь и не хочешь открывать, можешь тут почитать: ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной настройки Linux.

Ты молодец. Считаю, что поднимаешь правильные темы. Лучше хоть какая-то безопасность, чем её полное отсутствие.