nem csak az ssh démonnál, hanem egyébként is érdemes azokat a usereket loginilag kitiltani a szerverröl, akiknél ez nem szükséges.
(Máshogy is konzolhoz lehet tuti jutni, nem csak az ssh-n keresztül…)

Asszem ezt megteheted ha az alapértelmezett parancs (nem)értelemzöje 🙂 a /dev/false a pl /bin/bash helyett.
Lehet van más megoldás, de nálam ez pl elég.

Ahonnan el akarod érni a szervereket regisztrálj dyndns címet pl. Van két szinkronizáló progi is linuxra, vagy a legtöbb router tudja (olcsók is) és már csak ezeket a domain neveket engedélyezed a tüzfalon.
A portot meg alapba érdemes átrakni, mint azt már írták. pl: 24321, ezt találja meg valaki 🙂
Persze ha a zürgének van ideje, megoldja, de legalább nem a default portokat kihasználó progi jut be…
Nekem is volt hasonló tapasztalatom amíg nem raktam más portra az ssh-t, de szépen látszott milyen userekkel próbálkozott. Szerencsére mindegyik túl „egyszerü” volt  (pl: admin,www,joe, stb…) és mivel egyik sem létezett nem jutott be.

Érdemes még az egyéb 1000 alatti protokat is tiltani, persze 80-as meg egyéb fontosabb kivétel, föleg ha szolgáltatsz, és akkor már kevesebb lehet a probléma.
pl nem lehet kihasználni az rpc hibákat, nyitva felejtett cups admin page-t, alap „nyilt” ssh portot, stb (csak írtam pár példát, ne kössön bele senki! 😛 )

Köszönöm a tippeket… az ssh fail2ban kapcsolatával van egy kis gondom. Ha portot váltok az ssh beállításain, akkor nem megy a fail2ban azaz nem követi ha újra indítóm akkor sem. Valami ötletetek van rá?

Jav: most abszolulkt nem müködik pedig újra raktam a fail2bant…. mikor tegnap felraktam ftpről sshról szépen kitiltot.. ha probálkoztam most nem is reagál rá…

Újraindítottad mind a két démont? Kipróbáltam a port váltást most kíváncsiságból, és nálam követte rendesen.