Уже все написали практически.
Но, в кратце
- запретить удаленный логин руту.
- запретить парольную авторизацию по ssh, только по ключам
- сменить ssh порт на что-нить нестандартное (хотя, это не так важно)
- настроить фаервол - разрешить коннекты только к нужным портам и с нужных адресов ии через VPN какой.
- настроить ACL на уровне приложений. Ну из серии - перекрыть входы в админки HTTP авторизацией, вайтлистами и т.п. Тут уже зависит от приложений, которые будут крутиться на сервачке.
В целом - подход такой же как и к обычному linux серверу.
