Schimbarea portului e importanta dar fara fail2ban e inutila altfel scanezi portul in 10 secunde. (am un prieten care iti spune portul si cu fail2ban setat la 2 incercari la cati botneti are cu update la zi)
Nu vad problema cu autentificarea prin root (nu orice user, root). De obicei am o parola complexa si nu o folosesc in mod normal, dar cand e necesar o stiu pe de rost. Nu cred ca mi-ar conveni sa am un server jos si sa nu pot intra de pe telefon pe server fiindca nu am cheia ssl.
Cea mai buna securitate e ssh doar prin OpenVPN si port knocking. (care devine util si daca ai panouri de administrare web care nu ar trebuie sa fie publice) E necesar deja un protocol analyzer ca sa gasesti vpn-ul si unde mai ramane faptul ca vpn-ul e tot cu o cheie ssl. Sa nu mai zic nimic ca daca e vorba de ceva serios folosesti openvpn in propria retea gpon. (sunt cateva firme in Cluj care fac exact acest lucru)