Уважаемый Аноним, вы очень обще ставите вопрос. Боюсь, что в рамках форума на него будет трудно ответить. Поможет, если вы выработаете и покажете список мер, указывая какую конкретную задачу решает каждая, а в форуме их "поругают".

Посмотрите https://www.cyberciti.biz/tips/linux-security.html, и вообще выдачу на поисковый запрос "debian server hardening".

Насколько враждебны пользователи?
Вы говорите "публичный", это в смысле в Интернете, но для своих, или в смысле что туда будет ходить кто попало без SMS?

> Достаточно ли будет на голом дебиане добавить правила в фаервол, что бы
> нельзя было делать исходящие соединения?

Нет, не достаточно. Надо следить за входящими соединениями, конфигурацией тех сервисов, которые опубликованны, не ставить ничего лишнего, следить за обновлениями, банить наугодных, награждать праведных и не впадать в уныние.

Конкретно касаемо исходящих соединений. От чего вы защищаетесь? От пользователей которые будут целенаправленно стараться закачать какую-нибудь малварь это не поможет, при наличии SSH есть несколько способов этого добиться не делая исходящих соединений. Мера больше тетральная, но я могу представить себе кейсы когда она будет реально способствовать.
Я бы наоборот, рекомендовал дропать все входящие, кроме тех которые точно нужны, в качестве меры защиты пользователей которые норовят запускать левые сервисы в userspace, и им сразу прилетает подарок из Интернета.

Технические рекомендаци найдите в доках, их много, они разные. Некоторые более смысленные, некоторые так себе. Посмотрите несколько, обратите особое внимание на меры в которых разные источники совпадают, скорее всего они наиболее важны.

А что касается не технических мер:..
Устанавливайте только минимально необходимый софт.
Идентифицируйте ВСЕХ своих пользователей.
Следите, чтобы пользователи не делились друг с другом ключами и паролями.
Пусть за каждого пользователя кто-нибудь персонально поручится. В рамках организации на роль поручителя хорошо подходит начальник отдела, но это не всегда и не точно.
Заранее приготовьте план, что будете делать если/когда заподозрите что вас таки сломали. В смысле, как будете сносить всё и устанавливать заново. Если это как следует спланировать и отрепетировать, то оно не так трудеёмко как кажется.

Удачи.

> Здравствуйте,
> хочу поднять публичный сервер debian, на которой смогут заходить разные пользователи по
> ssh,
> запускать предустановленные программы(vim,mc,ls,make,gcc,gdb и т.д).
> Посоветуйте мануал или как настроить сервер, что бы его не поламали и
> не ddos-ли с него.
> Достаточно ли будет на голом дебиане добавить правила в фаервол, что бы
> нельзя было делать исходящие соединения?

Лучше будет пойти по пути ограничения возможности запуска программ. Если у юзера будет только bin/sh и перечисленные программы, не будет разрешений на сеть, есть шанс, что взломают не так быстро. Особенно если доступ будет не анонимным.
Вам ещё придется квотировать место, проц и память.
Может оказаться проще выдавать каждому по персональной виртуальной машине.

Хочу поднять публичный сервер, такой же как тут: https://overthewire.org/wargames/ . Что бы люди могли там запускать что угодно(в том числе gdb,gcc,perl,python), но что бы не мешали друг другу и не могли ddos-ть/брутфорсить сервера в нете.

> Достаточно ли будет на голом

Судя по вопросу, ответ должен быть "нет" или "не сможешь"...

Хотя, кто ж тебя знает...  https://duckduckgo.com/?q=selinux+play+machine
...и твою модель угроз.