Защита сервера. Кто что делает?

Если честно у меня не много всё коряво с серверами, но по сути в каждом офисе так в интернет доступ открыт, а ко мне открыт только vpn, за счет этого по сути порты все закрыты, причем у меня vpn создан костыльный, и там без доп настроек даже в жизни не подключиться со всеми танцами, честно говоря даже боюсь лезть в настройки ибо уверен, залезу всё порушу, вот так работает костыль который просто так к vpn не подключает
Ну это про офис и офисные сервера, на офисных серверах только от части отключен интернет, точнее на одном он есть и то для определенных нужд, на остальных двух он не нужен следовательно и живут внутри сети.
По VPS (у меня VDS но пусть будет VPS)у меня живет VPS у хостинга, но там плюшки защиты такие, первое, это автоскалинг, который поднимает мощность максимальных тарифов, скажем когда сервер работает при обычных нагрузках никаких проблем, а когда я поймал брут с китая, и ко мне стукнул ddos с диким обращением я получил уведомления о возросшей нагрузке следовательно по быстрому принял меры.
Так это скажем у меня лентяя так настроено. У всех других может и как то иначе, вообще по этой теме и "пунктикам защиты" к @Sorcus уж он то точно расскажет, что где как прикрутить, до полного безумия и спокойствия в защите

 

Я использую iptables, для упрощения можно пользоваться веб-мордой Webmin, ну и соответственно Apache отдельный пользователь, группа. правильно выставить права на запуск/выполнение/чтение скриптов. Для ip телефонии , если аппараты логинятся снаружи, то в iptables разрешаю данные адреса, плюс сложный пароль, в противном случае может быть куча звонков в Зимбабву)))

 

Обычно я делаю только то, что разрешаю определенному IP войти в SSH. Кроме того, всегда выполняйте обновление и обновление не реже одного раза в неделю, чтобы убедиться, что у вас установлена последняя система.

 

Безопасный вариант - доступ по вайтлисту айпи + актуальные обновления + впн и адекватные пароль. В остальном если сильно захотят - поломают.

 

В первом посте не уточнили о какой именно защите (от каких угроз) идет речь. Есть разные векторы атак, начиная с брута паролей и заканчивая уязвимостями и ддос атаками.

 

Можно подробнее ... как реализовываете?
Через iptables или /etc/hosts.allow

 

Смысл ставить другой порт для ssh если nmap и все открытые порты будут видны? Советую подтянуть fail2ban, довольно гибкая и мощная штука, можно блокировать по странам, как пример, тот же Китай.
Ну и не забываем iptables, борьбу с syn-флудом (надеюсь, в ДЦ стоит что-то от ddos), так же помним об maldetect, clamav и chkrootkit. Так же, стоит отключить неиспользуемые модули Apache, функции php, не забываем об обновлениях и бекапах.
Это если в двух словах, а так да, векторов для атаки всегда несколько.

 

На ssh хорошо port knocking повесить.