Existe algum motivo para usar o fail2ban com logins de senha SSH desabilitados?

O único benefício possível é que você sabe que o IP "atacante" é um "vilão" ou uma máquina comprometida, e provavelmente não quer falar com eles de qualquer maneira. É provável que eles tentem outros protocolos. Se você não tem nenhum aberto, nada para se preocupar.

Isso pode reduzir um pouco a largura de banda. Isso definitivamente reduziria o spam em seus logs (eu mudo minha porta SSH para 2222 por esse motivo; mas não recomende essa tática a menos que você tenha um pequeno grupo de administradores acessando a caixa).

É tecnicamente possível que eles possam adivinhar uma chave SSH, mas totalmente irrealista pensar que isso acontecerá. Eu recomendaria alterar suas chaves SSH a cada poucos anos (para garantir que você está usando a tecnologia "atual" e para verificar a documentação em torno do sistema).

O botnet marcará você como inacessível por um tempo (e começará a atacar novamente em algumas horas / dias). Por isso vai diminuir o tráfego no seu link, mas não tanto assim mesmo :) Essa é a minha experiência, mas não estou usando fail2ban , mas simples iptables rule

-N SSH
-A INPUT -j SSH
-A SSH -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
-A SSH -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 240 --hitcount 5 --rttl --name SSH --rsource -j DROP
-A SSH -p tcp -m tcp --dport 22 -j ACCEPT

O Fail2ban não é apenas para ataques de força bruta ssh. Se você tiver Apache, Postfix, Dovecot ou outros serviços suportados pelo Fail2ban, você poderá proteger esses serviços.

Você pode até mesmo criar seus próprios filtros e regras que atendam às suas necessidades específicas, por exemplo, um webapp Java que registra as tentativas de login com falha e pode banir o ip a cada 10 tentativas nos últimos 5 minutos e bani-lo por uma hora.

Então, sim, há vários motivos para usar o fail2ban, mesmo que o ssh esteja desativado.