A tűzfalról azt olvastam, hogy frissen telepített Ubuntuban ugyan nincsen nyitott port, viszont ha később telepítünk egy adott szoftvert, ami kinyit egy portot, akkor máris sebezhető lehet távolról a rendszerünk, ha ebben az adott szoftverben van egy biztonsági rés, és a nyitott porton keresztül ezt ki tudja használni egy támadó.
Persze az más, ha direkt telepítünk egy szervert, és ehhez kell a nyitott port. De ha nem állt szándékunkban kinyitni portokat, hanem valahogy úgy alakult, hogy adott szoftver mégis kinyitott egy portot (mondjuk nem olvastuk át teljesen, hogy mit is csinál adott szoftver, vagy akár van benne egy bug, ami távoli kódfuttatást tesz lehetővé), akkor mégiscsak jól jön, hogy az ufw lezárta az összes bejövő kapcsolatot. Gondolom ha egy program megnyit egy portot, de az ufw blokkolja az összes bejövő kapcsolatot, akkor az ufw szabályai lesznek az erősebbek, tehát amíg az ufw blokkol minden bejövő kapcsolatot, addig azt más nem tudja felülírni?
Minden csomagot lehetőleg natívan, linuxos deb csomagként telepítsenek, a hivatalos tárolókból
Az Ubuntu szoftverközpontban van egyre több (ellenőrzött) snap csomag is (lásd https://snapcraft.io), szóval gondolom úgy értetted, hogy "hivatalos tárolókból, deb vagy snap csomagként telepítsünk".