secondo me ti stai preoccupando oltremisura, comunque io darei un'occhiata anche al metodo del port-knocking.

in pratica la 22 diretta è chiusa, cercando di connetterti alla 22 ti risponderà che è chiusa; ma "bussando" ad una sequenza di porte che tu preimposti (che so, 387,776,9994,11178,5432 , che saranno tutte chiuse ovviamente) nel corretto ordine, la 22 viene aperta e puoi loggarti in ssh.
metodo molto interessante.