Door Anoniem: Een aantal dingen waar ik aan denk: - Ik weet dat je public key authentication moet gebruiken en password login uit moet zetten voor SSH. - Maar is dat voldoende? is Fail2Ban goed genoeg, of toch maar dat port knocking inzetten? Waarom moet je zonodig vanaf het hele internet managen, als je een "supermaximaal veilige server" wilt ? Zet een packetfilter op een heel klein aantal trusted IPs (typisch je thuis IP). Of desnoods een kleine range (heel KPN mobiel is een heel klein brokje van "het Internet" .). - En je standaard TLS configuratie gebruikt zwakke ciphers, maar wat is nog meer standaard zwak? Dat is voor je server helemaal geen risico, alleen nogal theoretisch voor data die je verstuurt. Het hele feit dat je TLS praat is al een risico . Je gooit het (ik heb dat eerder gezegd) allemaal op dezelfde 'security' hoop. - ICMP ja/nee? Het zou kritiek zijn voor IPv6. Is het echt zo gevaarlijk, gezien het vaak gewoon aan staat? Natuurlijk niet. En je kunt een hoop functionaliteit kapot ...