Слушай, первое – скачай последнюю версию Raspberry Pi OS и проверь контрольную сумму, чтобы не заливать поддельную прошивку. Потом обнови все через apt-upgrade и apt-full-upgrade – чтобы все патчи безопасности были на месте. Дальше – ограничь, что запускается: удали или отключи неиспользуемые сервисы, настрои файрвол (ufw) так, чтобы разрешался только SSH на нестандартном порту. Для SSH – отключи вход для root, используй аутентификацию по ключам и включай только Pubkey-Authentication. Добавь fail2ban, чтобы блокировать повторные неудачные попытки входа. Поменяй пароль пользователя "pi" по умолчанию, или лучше – удали этого пользователя и создай своего, с правами sudo. Включи unattended-upgrades, чтобы критические патчи устанавливались автоматически. Если у тебя что-то крутится из веб-сервисов или IoT, убедись, что это минимальные версии, отключи ненужные модули и, если можно, привяжи их к localhost. Подумай об установке Pi-hole для фильтрации DNS – чтобы блокировать вредоносные домены. И напоследок – закрой SD-карту в режиме только для чтения, когда все настроишь, или используй карту micro-SD с переключателем защиты от записи. Это не даст изменять прошивку изнутри.