Eu julgo isso como um produto estável e considero-o seguro. Como precaução extra, eu adicionaria seu endereço IP de origem à diretiva ignoreip
no jails.conf
para garantir que você não se bloqueia.
Como ele analisa os logs ssh, será necessário estabelecer uma sessão TCP, o que dificulta a falsificação de IPs de origem e a obtenção dos números de seqüências TCP para criar uma espécie de variação de backscatter.
Usar chaves em cima disso também não é uma má ideia. Outras opções que ajudam a mover o ssh para um IP não padrão, usando o módulo "iptables" recente, ou simplesmente decidir que você não se importa se as pessoas tentarem usar senhas de força bruta. Veja este serverfault postar mais sobre isso.