Jeśli to możliwe, to polecam zmienić domyślny port, na którym słucha SSHD. To jest jedna z pierwszych czynności, jaką wykonuję po zainstalowaniu Linuxa.

Dodatkowo polecam wspomniane rozwiązanie bazujące na fail2ban. Przy pomocy tego toola można automatycznie analizować logi dowolnych usług. Przykładowo można z logów "wyciągnąć" IP, z których logowanie SSH nie powiodło się. Na podstawie tych analiz można wykonywać dowolne (konfigurowalne) akcje.

Jako akcję proponuję skonfigurować dodawanie IP (lub całych podsieci) do zbioru IPSET. Zastosowanie IPSET pozwala przy pomocy jednej regułki IPTABLES odrzucać ruch sieciowy, pochodzący z adresów, które znajdują się w zadanym IPSET.

Rozwiązanie bazujące na recent ogranicza częstotliwość wszystkich połączeń z danego IP. Przy pomocy fail2ban możesz logować się do SSH tak często, jak chcesz, jeśli logowania kończą się poprawnie. W przeciwnym wypadku Twój IP trafia na "czarną listę" po zadanej ilości niepowodzeń.

Osobiście tego typu rozwiązanie stosuję do ochrony przed atakami słownikowymi na serwery SMTP.

Zmiana portu SSHD - pamiętam, zdaje się kiedyś robiłem testy, skanery portów. Mimo zmiany portu, potrafią wykryć, co to za usługa. Nie lepszym byłoby użycie portknocking?

Zgadzam się. Zmiana portu to niepełne zabezpieczenie.

Jednakże,  prosta zmiana portu powoduje zlikwidowanie ogromnej ilości nieuprawnionych prób logowania do SSH. Wystarczy wystawić serwer na publicznym IP i porównać statystyki. :)