Помогите с пониманием где могут быть проблемы

не стандартный для ssh, не защитит, брутить начнут сразу можешь лог fail2ban посмотреть, то есть ssh онли ключи. Помни nat фаервол не заменяет, avahi прибей если есть. Если http для админки может его не прокидывать, а тунелировать через ssh. Остальное я не знаю.

fail2ban не нужен. Нужен пароль у пользователя ssh длинней 7 символов, этого для безопасности достаточно. В остальном обновляй софт и не морочь себе голову.

И иногда смотреть логи.

Или авторизация только по ключу.

http голым за пределами домашней сети не работает конечно. Или через реверс прокси с https или завёрнут во что-то.

Надо и правда посмотреть таблицы чего там забанено…

Нормальный пароль обеспечивает достаточную защиту.

Во-первых никто рандомный сервер перебором взламывать не будет, боты пробуют грубо говоря самые популярные пароли из топ-1000 вроде root:toor, admin:123456 и тд. Поэтому, честно говоря, даже пароль sdjk не взломают, пока не начнут прям целенаправленно ломать твой конкретный сервер.

Во-вторых, даже если будут, там будет астрономическое время, если пароль сколько-нибудь адекватный.

Отключать авторизацию по паролям нужно в организациях, когда на сервер ходят куча левых людей со своими аккаунтами и админ не может за ними уследить. Там - да, 100% будут пароли из разряда Astana20@%. А когда это твой сервер - ну это не даст никакого выигрыша, просто ты сам себе создашь проблемы, когда тебе внезапно надо будет с другого компьютера зайти на свой сервер, пароль в твоем менеджере есть, а ключа нет.

Многие меры для повышения безопасности приводят к понижению удобства использования. При этом безопасность это в какой-то мере бинарная штука. Тебя или взломали или нет. Если тебя с паролем не взломают, значит создавать себе сложности, запрещая пароли - это уже лишнее. И многие на мой взгляд перегибают с безопасностью, в ущерб удобству использования системы.

Правильно ли я понимаю, что в данной ситуации я защищён от атак снаружи?

От каких атак? Первый вопрос в ИБ - это постановка профиля атаки, а уже потом выработка мер по защите.

Если нет уязвимостей

Они есть. Просто ты (мы, они) о них еще не знаешь.

Что можно улучшить в данном варианте?

Ты кому-то нужен, чтобы ломать твои сервисы руками? Там лежат ключи от бикоин кошелька?

От атак с помощью ботов, которые ходят по интернету и пытаться всё взломать (типа перебора пароля для SSH или админок). Я понимаю, что, вроде, да, но что-то я читаю и народ дома какие-то фаерволы собирает… Вот и подумал, что, возможно, я просто что-то не понимаю и тоже нужно бежать и собирать.

Понятно что уязвимости есть всегда, просто про них не знают.

Даже если кошелек и есть, то про него знаю только я. Всегда есть возможность что кто-то целенаправленно захочет меня взломать, но вопрос не в защите от такого случая.

Есть одна простая причина отключить пароль: чтобы все записи о неправилньом пароле в логах автоматически считать атаками, а не своим тупняком. Ну и можно завернуть в fail2ban всех проверяльщиков паролей, не для безопасности, а ибо нехер.

• авторизация ssh по ключу, ключ хранится на аппаратном носителе, его не знает никто
• пароль на BIOS с паролем который не знает никто, даже ты сам
• фаервол

На своём опыте торчащего в сеть кубита(нет, почему-то он через опенвпн и вг никак не заводился) знаю два правила - нестандартный порт и бан китайских, индусских, вьетнамских ip. В основном из этих стран лезли боты, что бывало и кубит падал.

Почему такая уверенность? У меня, с нестандартным портом, в бане сидят по несколько сотен ip за перебор паролей. 2 попытки с баном на 6 часов. А без fail2ban я думаю пароль 16 символов забрутили бы уже давно. Раньше снаружи к x11vnc подключался, порт был открыт, но сервер запускался только по требованию. Так при запуске сервера через ssh и переключении на клиента на телефоне, подключение уже разрывалось из-за попыток Китайцев его перехватить. То есть уже знали порт, и долбили его постоянно.

Почему такая уверенность?

Потому, что я владею основами арифметики и могу посчитать, сколько миллиардов лет нужно, чтобы подобрать 16-символьный пароль, даже если предположить, что у этих ботов до твоего сервера петабитные каналы, на твоём сервере 1000 ядер и все работают на проверку паролей.

А тебе посоветую, если время лишнее есть, написать самому бота, который проверял бы пароли, натравить его на свой сервер, замерить, какая у него будет скорость, и потом путём нехитрых вычислений найти, сколько ему времени нужно, чтобы перебрать все 16-символьные пароли.

Чисто панику тебе навести

• АХТУНГ: Пишу из горящего танка , ко мне на linux ПК влез майнер!

Напиши скрипт, если пока ты спишь в /var/log/auth.log появится строчка Accept то ifconfig eth0 down & poweroff.
Пусть скрипт ещё и форкнет себя раз 10. Так, на всякий :)