Da gebe ich dir recht. Nur lieber ein wenig als gar nix 
Und bei Ubuntu muss ssh Extra freigegeben werden.
Klar machen die meisten den Fehler und benutzen die “Basis” von UFW Und dort ist nun mal alles offen von außen.
Trotzdem kann ich nicht pauschal sagen das Firewalls nix bringen.
Ich würde jeden empfehlen alles in der VM laufen zu lassen. Einfach von außen alle port zumachen und über 80 tunneln Und gut ist.
Bei Ubuntu ist soweit mir bekannt das Paket open-ssh-server gar nicht installiert. Und was nicht installiert ist, muss man auch nicht blockieren. Und wenn man es installiert, darf man es nicht mehr blockieren 
Das ist überhaupt kein Problem. Ich nutze nicht mal Firewalls und da ist alles immer offen. Aber wo nicht am Port gehorcht wird, da kann auch nichts passieren.
Naja. Man kann Dienste für außen und innen (0.0.0.0) oder nur für innen (127.0.0.1) zulassen. Dafür braucht man keine Firewall. Und wenn man z. B. Nextcloud hostet und jemand soll darauf zugreifen, dann muss man Port 443 erlauben. Und wenn man Lets Encrypt verwendet dann auch noch 80 für die Erstellung/Aktualisierung der Zertifikate. Aber auch das ist nur eine Umleitung. Das Gesamtrisiko wiederum beschränkt sich bei Port 443/80 auch nur auf den Webserver-Benutzer www-data. Aber man kann es auch machen wie vor 30 Jahren. Einfach TCP/IP gar nicht installieren. Dann kommuniziert der Rechner gar nicht mehr mit der Innen- oder Außenwelt.
Bei der Desktop Version ist ssh nicht Freigegeben.
Ich schreib es deshalb drauf weil hier viele die Desktop-version von Ubuntu installieren
/etc/ssh/sshd_config
Wie bei Windows versucht man es den Anwendern zu einfach zu machen. Man bietet vollkommen unnötig verschiedene Versionen wie Desktop und Server an und die Anwender versuchen erst gar nicht zu verstehen, was das wirklich bedeutet.
Ich installiere bei Debian immer die Netinstall-Version und dann ist mir am Ende egal ob es ein Server oder Desktop wird, da ich nur die benötigten Anwendungen und/oder Dienste nachinstalliere. Hier meine verwendete USB-Stick-Version. Natürlich kann man auch GRML mit grml-debootstrap nehmen. Nichts mit Desktop- oder Server-Version und eine Firewall installiere ich wie gesagt erst gar nicht. Für einen Pi ist das natürlich alles Mist. Da verwendet man natürlich vorgefertige Images.
Dort sind dafür andere Dinge installiert, die häufig der Sicherheit nicht gerade förderlich sind. Vorallem dann, wenn der “Server” auch tatsächlich noch gleichzeitig als Desktop verwendet wird.
Ich Installiere und konfiguriere alles von Hand sql,apache, mail,iptabel usw… . Old school eben. Passt besser zu mir und man verlernt nicht so schnell die ganzen zusammenhänge.
Fertige Images gibt es bei mir nicht. Ok “Grund System” früher Redhat ,Fedora jetzt mehr Debian.
Immer wieder schön zu sehen wenn alles hinhaut. 
Und das Beste ist man hat nicht überall die “Standard” Pfade mit drin.
Ok, so mancher wird sagen bist du vollkommen Irre?
Ich sag nur. Automation schön und gut. Aber man verliert die Kontrolle über dem was auf sein System passiert.
Und wenn ich so über den Jahren an den ich den schmarn schon mache beobachte, stelle ich fest das sich Automatische Funktionen immer mehr unsere Kontrolle entziehen. Aus den Manual wird Optional, bis es Standard wird.
Siehe Bios. Secure UEFI,TPM usw… und glaubt mir wenn ich euch sage das die Zeit kommen wird in der wir keinen Zugriff mehr haben auf die Bootabläufe von Bios. Siehe Handy, Tablet. Wir dürfen zwar die Hardware Zahlen aber nicht die Kontrolle darüber haben…
Oh je, Ich Laber wieder…
Das ist auch der Grund warum ich hier gern mal darüber schreiben tu.
Es macht schon Sinn warum es Desktop und Serverversionen gibt.
Leider installieren viele die Desktop version.
Jetzt stellt sich die Frage gibt von Rasbian eine Desktop Version und eine Server Version? Um auf das Thema langsam zurück zu kommen.
Denn Nextcloud auf eine Desktopversion zu installieren mach ja wenig Sinn aus Sicherheitstechnischer Sicht oder?
Ja gibt es. Die Version ohne Desktop nennt sich Raspberry Pi OS Lite.
Genau das wollte ich hören. Danke!
Bin mir sicher das zu 90% die hier reinschauen alle die Desktop version installieren