Tu peux aussi simplement rajouter du TOTP. Contrairement à du port knocking, le TOTP s'appliquera aussi bien en accès SSH qu'en local.
Tu peux voir ce script que j'ai écris il y a quelques temps et qui, s'il a besoin d'une bonne réécriture un jour quand j'aurai le temps... , pose quelques idées.
Tu trouvera la partie googleauthenticator pour le TOTP, mais aussi la partie honeypot SSH qui permet de leurrer un attaquant distant.