Eu diria que ainda vale a pena evitar uma grande superfície de ataque na forma do seu servidor SSH.
Algumas coisas que faço (variando entre máquinas diferentes) são:
- limitação da taxa de conexão no nível de iptable
- executar o SSH em uma porta diferente
- fail2ban
- opie
- sem logons de raiz
- apenas chaves ssh
Rodar ssh em uma porta diferente evita muitos dos bots e scans, mas é um pouco mais trabalhoso ao conectar (mas uma entrada em ~ / .ssh / config ajuda). Não vai parar um hacker determinado, apenas bots etc
Algo como fail2ban + iptables, ou a limitação da taxa de conexão do iptables vale a pena. É muito simples de configurar, mas vai abrandar rapidamente qualquer tentativa repetidamente, e não deve afetá-lo.
Nenhuma chave de root / OPIE / ssh só deve ajudar na maioria dos dias, mas não em todos os dias, e também ajudará em muitas outras situações. Pode tornar a configuração de uma nova máquina / novo administrador um pouco mais longa, mas o que ela oferece deve valer a pena.