Sim, sshd precisa permitir que os clientes se conectem sem serem autorizados. Um cliente precisa de uma conexão antes de poder iniciar a autorização. Então, no momento em que os clientes se conectam, eles são todos não autorizados.
Existem obviamente limitações estritas sobre o que um cliente pode fazer em uma conexão não autorizada. Essencialmente, a única coisa que você pode fazer com uma conexão não autorizada é inicializar a criptografia e autenticar.
As conexões normalmente não permanecem no estado não autorizado por muito tempo. Se a autorização não for interativa, geralmente leva apenas alguns segundos. Se a autorização é interativa, pode levar mais tempo, mas ainda assim um curto período de tempo comparado ao tempo de vida típico de uma conexão ssh.
Assim, a qualquer momento, espera-se que sshd tenha apenas um pequeno número de conexões não autorizadas e faz sentido ter um limite no número de tais conexões para evitar que elas usem muitos recursos. Sem esse limite, um invasor pode abrir centenas de conexões paralelas para adivinhar senhas.