Защитить SSH.

Есть один секрет для захвата таких компов.
Я бы тебе его рассказал, но секрет есть секрет

Тогда что ты забыл в треде?

ещё способы мой комп захватить

да, взлом, кража и тд.

а также, социальная инженерия на обладателя пароля, дырки в прикладном софте и тд.

компьютер ... смотрит ... в интернет

Можно ли считать себя защищённым, или же есть ещё способы мой комп захватить?

Нельзя, есть. Твой кэп.

Соц. инженерия и так сработает. Дырки мне не починить.

тогда в чём вопрос?

Всё ли я сделал на информационном уровне, что я мог?

https://wiki.archlinux.org/index.php/Google_Authenticator

и хоть на 22 порту ssh держи

ssh может побить только zsh, т.к. у него первая буква весомее.

на информационном уровне

что это за уровень? если ты сам сделал всё что смог, то зачем спрашивать? по-моему если брать соотношение (ценность данных)/ (принятые меры) то ты уже перевыполнил план. :)

Конфиги ssh, конфиги iptables.

Port knocking добавь. Позащищенней будет.

Как тебе уже подсказали добавить можно порт кнокинг, и отключить вообще парольную аутотентификацию на ssh... Твои 16 символов это хорошо, но хождение по ключам - однозначно лучше.

Выкинь эти правила, поставь fail2ban, выключи вход по паролям, сделай вход по ключам плюс OTP на всякий пожарный.

А вообще, не параной - если рут отключен и стоит пароль 16 символов, то всякая шантрапа точно ниасилит, а если ты резко станешь нужен серьезным дядям, то они тебя все равно поимеют. Меня ломанули много народу и неоднократно когда у меня был юзер oracle с паролем oracle1. Жуткий зверинец я тогда сжег напалмом.

Понял, спасибо.

Дело в том, что ты никак не защитишь голую попу компьютера без антивируса Касперского, который имеет годный встроенный фаерволл. Бесплатно можно найти ключики и дистрибутив антивируса на трекере. Удачи.

Антивир не нужен: линукс.

Ну и какой вектор атаки в случае одного открытого SSH с keyfile-auth и отключенным рутом? На ум приходят только дырки SSH и kernel remote arbitrary code execution.