Posso alterar a ordem de negação / permissão de SSH?

O controle de acesso baseado em hosts.deny e hosts.allow é fornecido pela biblioteca TCP wrappers ( libwrap0 ). Isso é o que o arquivo README diz:

  

Os programas wrapper não têm interação com o usuário cliente (ou com   o processo do cliente). Nem os wrappers interagem com o servidor   aplicação. Isto tem duas grandes vantagens: 1) os invólucros são   independente de aplicativo, de modo que o mesmo programa possa proteger   tipos de serviços de rede; 2) nenhuma interação também significa que o   invólucros são invisíveis de fora (pelo menos para usuários autorizados).

Veja também a página do manual hosts_access :

ACCESS CONTROL FILES
       The access control software consults two files. The search stops at the
       first match:

       ·      Access  will  be  granted when a (daemon,client) pair matches an
              entry in the /etc/hosts.allow file.

       ·      Otherwise, access will be denied  when  a  (daemon,client)  pair
              matches an entry in the /etc/hosts.deny file.

       ·      Otherwise, access will be granted.

Portanto, a menos que você compile uma versão personalizada de libwrap0 , não há como alterar seu comportamento atual.

Tanto quanto sei, se um mesmo IP estiver em /etc/hosts.deny e /etc/hosts.allow, o acesso será concedido. Para forçar a negação, você deve garantir que o script que adiciona a /etc/hosts.deny realmente remove o IP de /etc/hosts.allow.