le classique : fail2ban sur les serveurs , ssh avec clef RSA, phrase de passe, pas de connexion sur root, autre port que 22 (sup à 10000), le tout sur une clef usb bootable encryptée.
Si tu utilises Putty tu as du te rendre compte que putty ne gère pas la phrase de passe. Il faut aussi générer les clefs via putty pour les exporter sur le serveur. L'encryptage est moins poussé. Je ne suis donc pas fan de putty du fait de ces faiblesses.