wuerde es den Sicherheitsgewinn nicht drastisch erhöhen, in der IPtables die Default Policy auf DROP zu setzen zum einem
(das erfordert evtl. ein paar zusätzliche Regeln)
und in Bezug auf Port 22 diesen nur von definierten IPs zu erlauben, und im Falle von dyn. IPs sich einfach einen HE IPv6 Tunnel od. so zu besorgen
um auf die Art eine fixe IP zu haben, dann kann man sich den Aufwand irgendwas einzupflegen, das nicht zu Standardbordmittel gehört und beim nächsten Update
sehr wahrscheinlich nicht mehr klappt, komplett sparen;
ich habe es zum Teil so, bei IPv6 mein HE-IPv6-Tunnel, mein ISP ist immer noch IPv4only;
und bei IPv4 habe ich das da im iptables file
-A INPUT -i eth0 -s rangeISP1 -m limit --limit 1/min -m tcp -p tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -i eth0 -s rangeISP2 -m limit --limit 1/min -m tcp -p tcp --dport 22 -m state --state NEW -j ACCEPT
...
-A INPUT -i eth0 -m tcp -p tcp --dport 22 -m state --state NEW -j DROP
und Zugriffsversuche durch andere Kunden des selben ISPs enden mit einer abuse-Nachricht an den ISP, von daher nicht das Problem;
ein Gedanke, wenn man es etwas ausgefuchst, und etwas tricky haben will, ohne irgendwie in die Standard-Boardmittel einzugreifen;
einfach ein cronjob, welcher z.B. alle 2 Minuten, den dyndns-Namen abfrägt, und im Falle dass die IP eine andere ist,
einfach folgendes macht
iptables -D INPUT -i eth0 -s alteIP -m tcp -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -I INPUT -i eth0 -s neueIP -m tcp -p tcp --dport 22 -m state --state NEW -j ACCEPT
auf keinen Fall auf den Gedanken kommen, vom heimischen Router aus per wget/curl was am Server aufzurufen - egal ob per SSL/TLS od. nicht und auch egal ob passwortgesichert od. nicht - um so die Firewall von 'innen' zu ändern um Zugriff zu erlangen;