Meine Herren!

ich möchte üben, wie ich später mal einen vServer richtig absichere

Einen Server sichert man nicht wie einen frisch gewischten Boden ab, man stellt nicht einfach ein paar Pylonen auf und kann dann irgendwann sagen: „so nu is gut“.

Da du von einem virtuellen Server sprichst, nehme ich an, dass Naturkatastrophen wie Hochwasser oder Erdbeben nicht in deinen Aufgabenbereich fallen. Generell interessiert dich scheinbar mehr die Software als die Hardware.

Möchtest du den Server vor Überlastung oder vor Übernahme/Datenklau schützen?

Bei ersterem musst du dich fragen mit was für Zugriffszahlen zu Stoßzeiten zu rechnen ist und was die Server-Dienste leisten können, da spielt die Hardware dann auch wieder eine Rolle. Was für eine horinzontale Skalierung ist von dem Dienst zu erwarten? Wie soll der Server reagieren, wenn er wider Erwarten doch mal an eine seine Grenzen stößt? Wie soll der Server auf eine DOS-Attacke reagieren? Und ganz wichtig: Was passiert, wenn der Server trotz aller Maßnahmen doch mal ausfällt? Automatische Backups? Email-Benachrichtigung an den Admin?

Einen Server vor Datendiebstahl oder Übernahme zu schützen ist unter Angabe einer Garantie kaum möglich. Natürlich kann man darauf achten, dass keine Software im Einsatz ist, von der Sicherheitslücken bekannt sind und man kann probieren die Software aktuell zu halten, aber man muss schon recht naiv sein, um sich damit in Sicherheit zu wiegen. Mal ganz abgesehen von der technischen Machbarkeit: Auf einem Webserver laufen i.d.R. viele unerprobte Speziallösungen, die ein potenzielles Risiko darstellen (allein wie häufig wir hier im Forum auf missachteten Kontextwechsel hinweisen müssen...).
Unter Umständen sind nicht nur die lokalen Daten des Servers zu schützen, sondern auch die Datenströme schutzbedürftig, da werden dann Dinge wie Kryptographie interessant.

Man stellt keinen Türsteher vor einen Server, der dann Sicherheit gewährleistet. Jeder, der administrativen, operativen oder auch nur redaktionellen Zugriff auf den Server hat, ist für dessen Sicherheit mitverantwortlich. Man erreicht auch nie einen Grad an Sicherheit, bei dem man sagen würde "dat Ding ist nun sicher, jetzt kümmer ich mich um den nächsten Server", sondern Sicherheit ist ein Prozess, der sich so lange hinzieht, wie der Server im Einsatz ist.

PS: Bitte entschuldigt die unstrukturierte Schreibe, es ist spät; seht das eher als Brainstorming.