Я не знаю базовую конфигурацию ufw, однако, поскольку вы упомянули о разрешении портов, вот несколько соображений:
- блокировка портов для входящего трафика не означает повышения безопасности. Я имею в виду, что если вы блокируете порт, который не открыт (т. Е. Ни один сервис не прослушивает этот порт), то это в основном безопасность по незаметности;
- блокировка портов для исходящего трафика может иногда блокировать. Вы не можете заблокировать порты> 1024, так как вы заблокируете все исходящие соединения, инициированные вашим сервером (ssh-клиент, http-клиент, DNS-запросы с вашего сервера, ...) ;
- Затем вы можете заблокировать трафик, инициированный вашим сервером на портах <1024 (например, TCP-трафик с флагом SYN, исходный IP которого является вашим сервером), чтобы злоумышленник, который уже имеет доступ к вашему серверу, мог обмениваться данными с вашим сервером. Но это было бы не очень полезно, поскольку (как видно из предыдущего пункта) исходящая связь может осуществляться через более широкий диапазон портов.
Но на самом деле вы можете уменьшить поверхность атаки:
- ограничьте до минимума количество сервисов, на которых работает ваш сервер (даже если он не является общедоступным). Например, закройте ваш http-сервер (nginx, apache, ..), если вы его не используете;
- избегать установки неустановленного программного обеспечения;
- всегда обновлять программное обеспечение (и любые компоненты, например, ядро WordPress и плагины)
- безопасный ssh (посмотрите на https://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.fr.html)
- используйте ключи ssh вместо паролей. Вы также можете настроить 2FA
- пользователи из белого списка, которым предоставлен доступ к вашему серверу
- вы можете настроить стук портов на слушающих портах (например, ssh)
- Вы можете использовать другие инструменты, чтобы помочь вам повысить безопасность (fail2ban, ...)
Сообщество может дать вам много других советов, но не забывайте, что безопасность - это не одноразовое действие, а безопасность - это постоянное действие (обновления, мониторинг журналов, ...).