Inderdaad. De handson server beheer taken blijf je wel houden.
ubuntu firewall is wel een mooi om mee te beginnen als firewall op een ubuntu server. Verder vind ik zelf fail2ban een mooie tool. Zo houdt je de Brute force passwd crackers buiten de deur. En de w00tw00t scripts dat soort zaken. Ik ben zelf een groot voorstander van SSH poort dichtlaten en alleen openzetten voor je eigen IP(s). En/of public key authenticatie aanzetten. Nadeel daarvan is natuurlijk wel dat als je ergens anders bent dan je vaste werkplekken je niet bij je server kan. Wel veilig in iedergeval lol.
Daarbij gebruik ik ook logwatch. Die stuurt me iedere maandag een overzicht van alle servers zo kan ik in 1 oogopslag zien of er gekke dingen zijn gebeurd. Maar buiten alles is het gewoon goed om je te verdiepen in welke services er op je server draaien welke poorten die gebruiken. Overzicht hebben en houden is wat mij betreft altijd het belangrijkst om de beveiliging op peil te houden.
Updaten doe ik in productie omgevingen in iedergeval nogsteeds (semi) met de hand. Die automatic updates zou ik alleen aan beginnen als je echt alles uit de repositorys van ubuntu installeerd anders kan het nog wel is nare gevolgen hebben. Dan sta je om 3 am in het cafe en gaat de heleboel plat na een automatisch update, maar dat is misschien een persoonlijke frustratie.