Eu geralmente não troco a porta SSH, porque complica as configurações (agora eu deveria lembrar qual porta eu uso em qual servidor e eu tenho mais de 20 delas) e confunde-me e aos meus clientes. Eu uso DenyHosts em vez disso, está disponível em um repo EPEL. Também é bom desabilitar a autenticação baseada em senha em favor da chave baseada em sshd_config ( PasswordAuthentication no e PubkeyAuthentication yes ), pelo menos para a conta root ( PermitRootLogin without-password ). É claro que senhas vazias devem ser desabilitadas, mas eu acho que é uma configuração padrão hoje em dia ( PermitEmptyPasswords no ).