Mover o sshd para outra porta é simplesmente segurança através da obscuridade. Uma abordagem melhor é criar uma defesa em camadas. Comece desabilitando a autenticação de senha e restringindo a lista de usuários que podem efetuar login via ssh. Em seguida, restrinja os IPs ou redes de origem que podem se conectar e coloque uma regra de limitação no lugar. Certifique-se de registrar as tentativas com falha e inspecione seus logs regularmente. É ainda melhor se você puder alertar sobre ataques de força bruta. Existem algumas ferramentas que podem fazer isso.
Se você puder poupar um servidor para ser usado como um bastião, poderá remover o acesso ssh direto aos seus servidores e forçar todos os seus clientes através de um host que você possa monitorar. Uma vez que um cliente logue com sucesso, você pode restringir o local para onde ele pula adicionando regras de iptables de saída que são restritas por usuário ou grupo.