Много пишут в последнее время про SSH по ключам ... Я использую такой подход:

/sbin/iptables -P INPUT DROP

/sbin/iptables -A INPUT -j ACCEPT -s {$MY_IP} -p tcp --dport 22

22-ой порт открыт только для моего рабочего компа и нескольких серверов. На паре серверов поднят PPTP сервер светящий в мир. Везде парольная авторизация.

Если ВНЕЗАПНО хакнут мой комп или один из серверов - пароль для доступа к другому никто не отменял.

Нативный клиент PPTP есть даже в дремучем Андроиде 2.3

Считаю такой вариант правильным, это лучше чем fail2ban или типа того: логи чисты как слеза девственницы, только по `iptables -nvxL INPUT | grep «Chain»` циферки растут :)