Отключение ipv6 на сервере никак не решает проблему утечки адреса на клиенте.
Если на клиенте есть ipv6, на сервере нет, то клиентский ipv6 потечет в сеть напрямую.
А если на сервере сделать раздачу ipv6 хотя бы через NAT6, то эта проблема как раз закрывается
Мы здесь вместе с автором канала “DistroTube” популиризируем opendoas взамен sudo )) Уязвимости есть везде , но когда 99% использую sudo , то 1% или даже 00000.1% будут немного в безопасности , так как кода меньше в opendoas _
Как-то традиционно завелеось у безопасников отключать ipv6 , так и идет дальше.
Если вдруг хостер не поддерживает загрузку с ISO, всегда есть не очень красивый, но рабочий вариант. Подготовить образ диска того же размера у себя и загнать его на диск VPS через netcat или ssh прямо по сети. При этом убив все лишние процессы, кроме своего bash, чтобы не было записи никакой. В идеале перемонтировав root в R/O, но это вряд ли дадут из-за открытых файлов.
Я привел пример, когда отказ от имения дела с ipv6 создает проблему, а не решает ее
Тк клиенты бывают разные. Если чайник, он вряд ли будет отключать ipv6 у себя.
А если сервер выдаст ipv6 через VPN, то чайнику ничего делать не надо
Даже если и не чайник, можно банально забыть отключить на клиенте ipv6, загрузившись в другую систему или переставив винду и светануться. Может даже оборудование немного сьехать в винде, и определится новый адаптер, которому по умолчанию включат ipv6. И не заметить этого.
Например, в случае усб wifi
Привет . Мысль хорошая, но на самом деле уже сейчас достаточно хостеров кто:
- Дает возможность оплаты VPS за XMR
- Есть возможность использовать другие ISO , есть в этом списке )) Putting Privacy Focused Free Speech VPS Providers To The Test.
Согласен с вами . Хорошо , отметим как на усмотрение пользователя) Чтобы не вашим и не нашим ))
Уточнение . Я правильно тебея понял , что в директории /etc/ssh/sshd_config.d/ у нас есть конфиг ,в который мы добавляем запись
PasswordAuthentication no
AuthenticationMethods publickey
или как ты написал :
AuthenticationMethods publickey,password
Спасибо , поизучаю эту утилиту…
Спасибо за ссылку , поизучаю 
это был пример , а так да , нужно смешивать цИферки букОвки и другие знаки )
И тебе большое спасибо за вклад и всем кто создал данный форум -спасибо! 
Если кто-то по этой теме хочет добавить, пожалуйста пишите практические команды чтобы было удобно их применять на практике ,а не читать здесь и потом часами искать как это сделать в другом месте , поэтому я пишу команды чтобы было удобно.
Нет. Этой командой вы удалите старые пакеты и зависимости.
ok, спасибо тогда запишем
Отключать SSH port forwarding для доступа к админкам смысла нет, т.к. злоумышленник получивший клиенский SSH ключ откроет себе что угодно — на паранойю не оказывает влияния.
IPv6 наоборот есть смысл настроить, у меня VPN клиентам раздаются IPv6 адреса для приёма входящих подключений, так, например 1/3 торрент трафика идёт через IPv6-only пиров.
В качестве брандмауэра рекомендую firewalld — высокоуровневая абстракция над nftables. Удобно создавать зоны, службы и политики машрутизирования (можно защитить VPN клиентов, даже если на их стороне брандмауэр выключен).
Привет . Спасибо за совет. Можешь здесь написать несколько правил для примера используя firewalld, возможно кто-то остановится на это решениии.
Первое правило параноика заключается в том, чтобы отключать всё, что не используется. Не говорю, что я такой или вы должны такими быть.
Раньше видел утверждения о том, что при включённом IPv6 труднее блокировать боты и сканеры из-за обилия дешёвых адресов. Не знаю, насколько эта информация актуальна сейчас. Также в некоторых случаях использование IPv6 сильно роняет скорость соединения.
Использовать CDN, gRPC, серверы в разных локациях, иметь возможность оплатить любого хостера и уметь быстро разворачивать систему. Если совсем прижмёт, то даже это не поможет.
Если не шифровать ядро и initramfs, то ничего патчить не надо. Можно настроить возможность расшифровки диска через ssh.
Я тоже писал, что это не панацея, но всё равно поверхность атаки сокращается.
Так установите сами у любого хостера. Если не даёт подключить iso, отрезаете наживую кусок раздела и устанавливаете туда, что хотите, или восстанавливаете из локального бэкапа через rsync. Можете даже dd через ssh загнать на весь диск. Вариантов много.
В статье, которую я скидывал, всё это есть и даже больше, но не только лишь все, мало кто сможет осилить.
Повторюсь, проще установить свой личный православный дистрибутив, в котором ничего этого изначально не будет.
Вот это другое дело, прямо путь параноика. Хотя не понимаю, как у параноика могут быть друзья, но если друг найдётся, то у вас ещё и IP будет резидентский.
Если нужна двухфакторная авторизация (и по ключу, и по паролю), то как я написал.
Чтобы разрешить подключение через ssh конкретному пользователю, можно добавить в настройки такую строку: AllowUsers your_user.
Про шифрование в линуксе ещё рекомендую почитать эту обзорную статью: Data-at-rest encryption.
Подумалось про параноиков)) есть такая классная веСч как децентрализация в виде социальных сетей , как здорово ,что ее придумали 
Примеры , вдруг кто-то заинтересуется:
Mastodon, Pleroma, Nextcloud, PeerTube, Funkwhale, Friendica, PixelFed, BookWyrm, Lemmy, Plume, Writefreely, Misskey и другие.
там как раз образуется армия LIBRE активистов , это к вопросу у пароноиков не может быть друзей)
Истина , поддерживаю на 100% + )