Molto di ciò che ho discusso in questa risposta sulle porte SSH alternative è applicabile a questa domanda.
Dal momento che il tuo obiettivo è quello di essere il più possibile invisibile *, penso che la tua migliore scommessa sia la porta sicura con uno strumento come fwknop (come indicato in questa domanda di crypto.SE ) o forse uno schema personalizzato password una tantum sufficientemente botte porta complicate (per proteggere da attacchi replay ).
Un'altra idea è di far passare attraverso Tor; potrebbe esserci una latenza all'interno di Tor, ma il knock-out non consuma molta larghezza di banda e può essere configurato per tollerare più latenza. Una volta che hai bussato all'indirizzo .onion, la fine del tuo knock potrebbe essere una forma crittografata (o in chiaro, a seconda della sensibilità) del tuo indirizzo IP pubblico del client, che sarebbe quindi in grado di accedere all'indirizzo IP pubblico del server per una finestra di breve durata.
Avrai anche bisogno di un sistema come Fail2ban , in grado di riconoscere gli accessi non riusciti e vietare l'IP che li ha tentati (per impostazione predefinita, Fail2ban blocca un IP per dieci minuti dopo dieci accessi falliti entro dieci minuti, ma questo è tutto configurabile). Ciò ti aiuterà a proteggerti dagli attacchi provenienti da sistemi che condividono il tuo indirizzo IP pubblico (ad esempio, essendo dietro lo stesso NAT o rivendicando il tuo IP quando ti disconnetti).
Consiglio comunque di utilizzare Tor per l'accesso quotidiano e di eseguire il failover solo su Internet quando Tor diventa troppo lento (che si spera non sia così spesso, gran parte della bassa velocità di Tor deriva dall'essere affamato per i nodi di uscita, ma un servizio nascosto non ha bisogno di un nodo di uscita).
* Poiché Tor gira su Internet, ha ancora bisogno di alcune porte esposte alla rete pubblica. Non sarai completamente invisibile e qualsiasi avversario dovrebbe essere in grado di determinare facilmente che il tuo server esegua Tor. Potresti essere in grado di eseguire una sorta di inversione della porta inversa (dopo aver rilevato una scansione della porta, rilasciare tutti i pacchetti da e verso tale IP), ma alcune scansioni delle porte sono difficili da rilevare (e un utente malintenzionato potrebbe iniziare con la porta in questione) .