Hi fw116,
also das kommt ggf. auch so ein wenig darauf an was darauf laufen soll und wie die technischen Möglichkeiten, beim Betriebsteam und/oder dem Hoster so sind.
Eine Sache sollte definitiv beachtet werden:
SSH-Login als root via Passwort, ist nichts was ins offene Internet gehört.
Die einfachste Möglichkeit wäre den Zugriff in der Firewall des Hosters auf entsprechende Source IP-Addressen zu beschränken.
Das ist das was ich da als absolute Baseline betrachten würde.
Man kann darüber hinaus natürlich noch weiteres SSH-Hardening + Zugriffe via VPNs einrichten.
(Wireguard wäre da meine persönliche Empfehlung)
Falls die Workload ins Internet exposed werden soll, würde es sich auch anbieten die Interfaces für den Zugriff auf den Hypervisor, von den Bridge-Interfaces der Workload zu trennen.
BG, Lucas
