CityCat4

Многабукаф...

Все так называемые "VPN", "анонимайзеры" и прочие херайзеры работают по одному принципу (и по-другому они работать не могут) - браузер устанавливает соединение с херайзером (посредством локального прокси, если он есть) и отдает херайзеру запрос "скачай мне енту страницу". Херайзер страницу скачивает и отдает браузеру, он ее отображает. И все :)

Никакой полноценной защиты, как в настоящем VPN здесь нет. Логирование идет на всех уровнях - на уровне локального прокси (если он есть - видит, что пошли на херайзер), на уровне провайдера (то же самое), на уровне самого херайзера (видит, куда пошли - и не надо говорить, что там нет логирования - это проверить невозможно, значит оно есть).

Задачей херайзера является скрыть от локального прокси/провайдера целевой урл, а от сайта назначения - адрес, с которого пришли.

Имеется ли в нем смысл? Нет. Сам факт обращения к херайзеру уже вешает на Вас черную метку, дальнейшая защита имеет смысл только если в модели нарушителя не государство, а жена/сосед - от них таким образом можно защититься. Но даже от работодателя уже - никак.

и как их в этом максимально ограничить сохранив при этом удобство входа по логину/паролю?

Написать правило, которое ограничивает вход с определенных IP

Если сервер HP, то возможно настроен iLO, если Dell - то iDRAC.

Очень сомневаюсь, что там выставили вход на iLO наружу, потому что это чревато весьма неприятными вещами

Если он на гипервизоре, тоже никаких проблем.

Каким образом наличие гипера Вам поможет

Connection refused - отказ в соединении. Например, потому что там заход по списку юзеров - юзер1, юзер2 и все.

Данный сервер не поддерживает в качестве метода аутентификации ввод пароля с клавиатуры, только ключи. Я обычно такое ставлю на учетки автоматов, чтобы мудаки умники различные не лезли.

Ну то есть некоторые системные команды? Есть несколько способов:
- Если бинарь в /sbin, /usr/sbin - просто исключить эти пути из PATH в .bashrc у юзера
- Если бинарь в /bin, /usr/bin - можно создать папку /bin в домашке юзера, накидать туда пустышек (линков с true например) и поставить ее первой в PATH
- Дать юзеру другой шелл, не bash :)

Наверное создать им эти ключи.
man ssh-keygen

Remmina я и в линухе не люблю. В линухе - менюшка с XTerm для ssh и xfreerdp для винды, в винде - XShell для ssh и RDP для винды.
И не нужно усложнять там, где усложнять не нужно.
SecureCRT был замечательный проект, но сдох давно
Самый лучший ssh клиент для винды - это AbsoluteTelnet

На сервак необходимо закинуть Ваш ключ - ssh хочет ключ.
Логин рутом делать нельзя
Во-первых это дурной тон
Во-вторых он может быть банально закрыт - и тут хоть завводись правильный пароль :)

PermitRootLogin no
и хоть ты тресни - но логина не будет :)

Потому что так делать НЕЛЬЗЯ.

Не вдавайтесь пока в причины, почему это нельзя делать - просто примите на веру, как математическую аксиому - удаленный вход под рутом ЗАПРЕЩЕН.

Создайте обычного юзера, пропишите его в /etc/sudoers, заходите юзером, а команды для управления системой делайте через sudo

Очевидно создавать задачу рутом. Либо создавать задачу через тот инструментарий, который для этого прендазначен. /var/spool/cron доступна только руту и группе cron. "Свои" задачи правятся через команду crontab, man crontab

Для яббла понятия не имею, какие там клиенты. Для винды всегда использую xshell, хотя лучшим считаю absolute telnet, но он платный.

А там точно ssh запущен?
А там точно его пропускает iptables?

Не понял вопроса.

ssh клиент? Их море - платных, условно-платных и совсем бесплатных.
ssh сервер? Их есть, не скажу что много, но они есть...

man sftp

Запустить в этой самой консоли sftp куда-вам-надо и выгрузить туда БД

На РКН. Или на Дурова - на кого больше хочется. Пока первый гоняет второго, возникает вот такая вот фигня.

Накосячили, но не с паролем. Х не может найти фонт fixed, который вообще говоря быть обязан.

UPD: Упс, а почему у Вас отсутсвует /usr/share/fonts/X11? Удивительно, как вообще Х работают :)

Вопрос , как ?

Ответ - так :)

Если это микротики/циски/OpenWRT/LEDE или еще какие более-менее серьезные роутеры или альтернативные прошивки - в них ssh подымается штатным средством (и то возможно туннелирования соединений может быту тупо отрублена)

Если это соховское ...о (упрощенное железо), предназначенное только для выхода в тырнет - никак. Такое железо нещадно режут не только по софту но и по железу, чтобы удешевить по максимуму.

Это уязвимость ли это?

Это открытые порты сервисов :D
22 - ssh. Безопасно, если вход по ключам
80 - http - здесь собственно сайт :) Безопасность сайта - отдельная тема
110 - pop3 - почтовый протокол локальной доставки. Устарел. Если нет необхоимости - отключить
143 - imap - почтовый протокол локальной доставки. У Вас кроме сайта тут еще и почта?
443 - https - безопасная часть сайта
993 - imap over ssl. imap поверх самостоятельно открытого SSL. Не думаю, что Вам реально нужен
995 - pop3 over ssl. pop3 поверх самостоятельно открытого SSL. Точно не нужен