Если быть очень кратким:Настроить автообновление. Уязвимость может быть в любой части, связана как-то с обработкой/парсингом материалов из сети. Поэтому обновление всех компонент.
Работать под учёткой, у которой нет sudo.
Вероятно, выключить Snap. Деинсталлировать snapd. Связано с возможностью приноса неизвестных зависимостей третьей стороны через Snap. Он так устроен. Спекулятивное утверждение, но этот вектор атаки существует. В 20-й версии придётся уйти на Linux Mint, если жить без Snap.
Пристально относиться к установкам из сети. Предпочитать репозитории операционной системы. В браузере ограничивать скрипты, использовать adblockers, из числа доверенных.
Настроить: sudo ufw enable
В случае установки серверных сервисов читать про защиту каждого сервиса. Т.к. роутера нет, то фаервол отсутствует, а комьютер подключён прямо в интернет.
Посмотреть
sudo netstat -antpu | grep LISTEN
Проанализировать. Ненужное выкинуть. Нужное защитить.