Francamente era l'idea di partenza, ma la rete per me è un terreno sconosciuto ed ogni passo in più è terribilmente faticoso.
Dovrei aver chiuso SSH accettando solo connessioni con chiave; ho messo fail2ban a guardia con le regole di default su SSHD e con una regola autocostruita per MOTION che mi dovrebbero tenere al riparo da attacchi brute force.
Al momento ho rinunciato ad attivare OpenSSL perché l'impressione che ho avuto è che MOTION se ne serve solo per autenticare il server, non il client (studierò il reverse proxy tramite apache/nginxcome suggerito da qualcuno).
Se non ci sono problemi particolarmente critici sperimenterei così, senza disdegnare ovviamente miglioramenti futuri quando avrò una maggiore padronanza della rete.