2FA (mit TOTP Tokens) ist nicht unmöglich aber ziemlich umständlich. Und es räumt etwaige Sicherheitsbedenken nicht aus. Wenn du da Zweifel hast, nimm noch ein VPN dazu (SSH ausschließlich über Wireguard).
Inwiefern werden die Sicherheitsbedenken nicht ausgeräumt?
Wenn OpenSSH allgemein eine Schwachstelle hat, dann helfen die ganzen Authmechanismen auch nichts mehr.
usw.
Die ganzen Botnetze die ständig versuchen sich einzuloggen und das manchmal auch schaffen, wenn man nicht dran denkt und irgendwelcher User mit schwachen Passwörtern anlegt, noch gar nicht mit eingerechnet.
Man weiß nie wann die nächste Lücke gefunden wird oder ob alle Lücken bekannt sind. OpenSSH ist einerseits "sicher" andererseits eben auch das Angriffsziel #1.
Okay, das klingt logisch. Aber eine Keydatei mittels eines Botnetzes zu knacken wird vermutlich schon schwieriger, wenn bereits die Kontaktaufnahme zum SSH-Server verschlüsselt ist, kann die ja "unterwegs" niemand abfangen...