Ich möchte auch meinen, dass IP-Spoofing außerhalb von Intranets in Bezug auf SSH nicht der größte Risikofaktor ist, denn:
Wenn jemand mit "deiner" IP Pakete an deinen Server schickt, "antwortet" der Server ja an deine IP. Und es ist dann doch sehr aufwändig, den Datenverkehr abzugreifen und auf dem "Rückweg" wieder auf die IP des Angreifers umzuleiten. Da gibt es dann eben doch wesentlich einfachere Methoden, ein System zu kompromittieren - Stichwort Apache und PHP.
Tipps dazu:
-mod_security. Dazu zum Anfang das Ruleset von gotroot.org, das man dann selbst verfeinern und anpassen sollte.
-mod_evasive. Verhindert DoS via HTTP-Requests. Allerdings muss es mit vieeel Feingefühl konfiguriert werden. Bei mir hat es z.B. bei einem Online-Magazin auf meiner Kiste Probleme gemacht, als in einem Artikel viele Bilder drin waren, die recht zeitnah geladen wurden.
-Am besten gar keine allzu aufwändige PHP-Software laufen lassen. CMS wie Joomla oder Typo3 haben immer mal wieder Sicherheitslücken, die das Risiko von SQL-Injections oder schlimmer, Ausführung von Code/Kommandos via Systemcall bergen. Wenn die doch nötig ist, immer auf dem aktuellsten Stand bleiben. "Never change a running system" darf bei einem Root NICHT die Devise sein.
-In PHP, soweit möglich, alle Funktionen verbieten, die Systemcalls auslösen können, so z.B. exec etc. Ebenso die Möglichkeit verbieten, dass PHP-Scripts die Einstellungen der php.ini overriden können. Script-Timeouts auf "unendlich" setzen und dann eine Endlosschleife erzeugen lässt deinem Prozessor warm ums Herz werden.
-Wenn möglich, suPHP anstelle von mod_php benutzen, www-data ist immer ein etwas kritischer User, der wohlweislich in seine Schranken gewiesen sein will
-Je nach Konfig über Serverdienste in Jails nachdenken
-Eine gute MTA-Konfiguration bewahrt dich vor Blacklisting in Spamverzeichnissen (bei
http://www.dnsstuff.com [etwas runterscrollen] hast du übrigens viele Möglichkeiten, die infrastrukturelle Peripherie deiner Kiste auszutesten)
-Security-Mailinglisten zu abonnieren ist Pflicht
-.. und natürlich der ganze "Kleinkram" Ã la SYN-Cookies (ethische Entscheidung - soll mein Server RFC-konform antworten oder zumindest ein kleines Bisschen vor SYN-Floods geschützt sein?), kein Rootlogin via SSH etc., dazu einfach mal im Forum rumstöbern
Hoffe, ich habe nichts wesentliches vergessen - mein Mittagessen schmeckt gerade so gut. :)