Você pode criar uma camada extra para conexões usando Sockets do Systemd com TCP Wrappers. Em primeiro lugar, precisamos verificar se o sshd.socket está parado:
systemctl status sshd.socket
Caso contrário, podemos usar o comando abaixo para atingir esse objetivo.
systemctl stop sshd.socket
A próxima etapa pode ser criar um job para interromper sshd.service e iniciar sshd.socket. Os seguintes comandos auxiliam nesta tarefa:
sudo at now + 3 minutes
at > systemctl stop sshd.service
at > systemctl start sshd.socket
O comando Ctrl + D permitirá finalizar a edição e agendar o job para o horário proposto. Depois que o socket do Systemd foi iniciado, você pode verificar a presença da biblioteca TCP Wrapper:
ldd /usr/sbin/sshd | grep libwrap
A última etapa é permitir e negar conexões para o host para permitir apenas conexões de socket sshd. Abra o arquivo /etc/hosts.allow para anexar a linha sshd2 sshd : ALL. O próximo arquivo a ser alterado é /etc/hosts.deny com a instrução ALL : ALL.