bon ben deja avoir ssh d'ouvert sur le net c'est assez bof bof
Certes, c'est mieux derrière un VPN ou bastion, mais finalement si c'est bien configuré, ca ne pose pas trop de problème.
Le seul exploit d'openssh de ces dernières années permettant un bypass d'authentification n'était même pas lié à ssh lui-même, mais à du code malicieux dans une lib externe (liblzma il me semble?).
Je suis du même avis que toi: changer le port ne sert pas à grand chose en termes de sécurité. Il est probablement bien plus efficace de désactiver l'authentification par mot de passe, mettre PermitRootLogin à no et d'utiliser AllowUsers dans sshd_config.