Não consigo pensar em nenhum ajuste específico do Ubuntu, mas aqui estão alguns que se aplicam a todas as distribuições:
Desinstale todos os pacotes desnecessários
Use a autenticação somente de chave pública no SSH
Desabilitar logins root via SSH (não se aplica ao Ubuntu)
Use as configurações de produção para PHP (php.ini-recomendado)
Configurar o MySQL para usar apenas sockets
É claro que esta lista não está completa e você nunca estará completamente seguro, mas abrange todas as façanhas que vi na vida real.
Além disso, as explorações que vi quase sempre estavam relacionadas a códigos de usuário inseguros, e não a configurações inseguras. As configurações padrão em distribuições mínimas de servidor tendem a ser bastante seguras.
Uma coisa rápida que faço desde o início é instalar o DenyHosts . Ele examinará regularmente o /var/log/secure, procurando por logins com falha e, após algumas falhas, bloqueará o IP. Eu configurei para bloquear após o primeiro no-such-user, na segunda tentativa de root, e depois de algumas tentativas para usuários reais (no caso de você errar, mas você deve usar uma chave pública SSH para fazer login).
O Ubuntu é baseado no Debian e eu achei o Securing Debian Manual muito útil em distribuições baseadas no Debian para orientá-lo completamente através de seu sistema e verificar cada parte. É basicamente uma resposta muito, muito abrangente para sua pergunta.
Normalmente instalo o RKHunter, que procura rootkits e faz verificações de integridade de vários binários importantes do sistema. Está no repositório padrão e será executado diariamente no cron. Não é perfeito em termos de segurança, mas é um item de baixo esforço para adicionar e fornece uma medida de proteção.
Instale o logcheck, mas ajuste para que você nunca receba mensagens de eventos regulares, caso contrário, você terá o hábito de ignorar os e-mails.
Verifique quais processos estão ouvindo usando o netstat e certifique-se de que nada esteja em execução que não precise ser executado. Muitos daemons podem ser configurados apenas para escutar no IP interno (ou localhost) em vez de todas as interfaces.
Não consigo pensar em nenhum ajuste específico do Ubuntu, mas aqui estão alguns que se aplicam a todas as distribuições:
É claro que esta lista não está completa e você nunca estará completamente seguro, mas abrange todas as façanhas que vi na vida real.
Além disso, as explorações que vi quase sempre estavam relacionadas a códigos de usuário inseguros, e não a configurações inseguras. As configurações padrão em distribuições mínimas de servidor tendem a ser bastante seguras.
Uma coisa rápida que faço desde o início é instalar o DenyHosts . Ele examinará regularmente o /var/log/secure, procurando por logins com falha e, após algumas falhas, bloqueará o IP. Eu configurei para bloquear após o primeiro no-such-user, na segunda tentativa de root, e depois de algumas tentativas para usuários reais (no caso de você errar, mas você deve usar uma chave pública SSH para fazer login).
O Ubuntu é baseado no Debian e eu achei o Securing Debian Manual muito útil em distribuições baseadas no Debian para orientá-lo completamente através de seu sistema e verificar cada parte. É basicamente uma resposta muito, muito abrangente para sua pergunta.
Normalmente instalo o RKHunter, que procura rootkits e faz verificações de integridade de vários binários importantes do sistema. Está no repositório padrão e será executado diariamente no cron. Não é perfeito em termos de segurança, mas é um item de baixo esforço para adicionar e fornece uma medida de proteção.
Instale o logcheck, mas ajuste para que você nunca receba mensagens de eventos regulares, caso contrário, você terá o hábito de ignorar os e-mails.
Verifique quais processos estão ouvindo usando o netstat e certifique-se de que nada esteja em execução que não precise ser executado. Muitos daemons podem ser configurados apenas para escutar no IP interno (ou localhost) em vez de todas as interfaces.
Faça o que Can sugere...
Nmap o host e desabilite todos os serviços não essenciais. Use iptables se necessário.
Se você estiver se aproximando da Internet com o servidor, instale um sistema de detecção de intrusão como o snort.