ssh достаточно безопасен. Настрой авторизацию по ключам, или в качестве пароля длинную криптостойкую пассфразу используй, отключи ssh1 (уже отключен и выкинут совсем, но вдруг у тебя что то древнее очень), повесь демона на нестандартный порт, запрети логин для root. Этого достаточно обычно.
vpn (openvpn) не столь универсален и примерно так же надёжен.
fail2ban + ключи с паролем + отключение доступа по паролю + отключение логина рутом + не стандартный порт для ssh + слушать только свой ip + шапочка из фольги
Вот тогда SecuritySHell будет по настоящему Security
Собственно, так и делаю. Но иногда испытываю неудобства, т.к. не всегда под рукой есть клиентский конфиг. Вот сижу сейчас в метро через публичный wifi без vpn, как дурак.
Дефолты от дистрибутива зависят. В debian stable/testing кажется запрещён, а вот в oldstable помнится был ещё разрешён (или в oldoldstable). В CentOS (том который был самым свежим пару лет назад) кажется тоже был разрешён, но не поручусь.
Ну получается, никто не может попасть, могут хоть усраться. Надёжненько. Хотя на самом деле пароль такой, что суперкомпьютер наверн крякал бы его час. А всякие ботнеты потратят на это вечность. Сижу с рута. На серве просто нихрена кроме jabber и owncloud нет.
Нет, но вот ботнеты и всякие умники задалбывают. Это не компьютер, это виртуалка на достаточно известном хостинге, поэтому атака идёт с первых секунд создания. Похоже, атакуют чуть ли не весь диапазон их адресов.