• Open Tech Press | SSHへのブルートフォースアタックにpam_ablを用いて対策する

を読んで、
パスワード認証無効にすれば、brute force attackはうざいだけで侵入の危険性はない（秘密鍵が漏れたとかSSHの実装に脆弱性があるとかを除けば）ので、iptablesのhashlimitで追い返すだけでいいんでないすかね？

• DSAS開発者の部屋:ssh の brute force アタックパケットの制限 -- DOS 的パケットをフィルタリングする

ちなみに、OpenSSHチームはPAMを推奨していないぽい。これはOpenSSH 3.7.1p1のリリースノートやそこからリンクされているメールから伺い知れる。

このリリースでは デフォルトで PAMが無効になっている. 有効にするには, sshd_configで "UsePAM yes" と設定せよ. 複雑さと, 仕様の一貫性のなさ, ヴェンダーのPAMの実装の間の差異のために, 使う必要がなければ, sshd_configで無効にしたままにすることを推奨する. 公開鍵認証と 単純なパスワード認証を使うサイトでは通常 PAM サポートを有効にする 必要はほとんどない.

http://www.unixuser.org/~haruyama/security/openssh/henkouten/henkouten_3.7.1p2.txt

• 'Re: PAM vulnerability in portable OpenSSH' - MARC
• OpenSSH FAQ : 3.15 - OpenSSH のバージョンと PAM のふるまいについて。

あとあと、はなしはSSHから外れるけど、/etc/{passwd,shadow}には一切パスワードを書いてないというお方もいらっしゃった。
なんでもrootのパスワードはOTP (One Time Password)を使ってるそうな。ｎｒｈｄ！