To s tím neprivilegovaným portem je dobrý postřeh!
„ale muze i preforwardovat klice jinam“
Myslíš tím ssh-agenta? To ještě někdo používá? :)
„a pro lidi co zrovna nemohou jit ze sve IP adresy mit pripravene VPN nebo treba i ssh na serverech, o ktere nekdo dobre pecuje a pres ktere se teprve pak hlasi kam potrebuje“
Já bych to tak nehrotil, podle mě snad všechny útoky na SSH jdou přes slabá hesla a tomu se dá zabránit. Pokud se bojíš 0-day útoku na SSH démona, tak tím bude postižen hopbox stejně jako cílový stroj.
„a nebo pouzit veci jako Google Authenticator“
Moc bych v GA nedoufal, slabé heslo bych řešil jinak a backdoornutý počítač, že kterého se loguješ, to nevyřeší, alespoň tedy od té doby, co někdo napsal sslsnoop