Bem, pessoalmente eu não sou fã de PermitRootLogin sendo definido para nada, mas no (e se alguém comprometer sua chave SSH, que presumivelmente está em uma máquina insegura? Melhor forçar as pessoas a usar chaves SSH para faça login em uma conta de usuário normal e use uma senha para sudo ou su para root IMHO).
Em geral, o Fail2Ban e o PermitRootLogin without-password são projetados para proteger contra ameaças diferentes.
Fail2Ban protege contra ataques de força bruta: Alguém tentando adivinhar suas senhas (usuárias normais) ou alguém que "adquiriu" um monte de chaves SSH tentando todas elas para ver se algum trabalho entrou no seu sistema - Ele bloqueará os invasores após um determinado número de tentativas e alertará você sobre o problema, para que você possa tomar as medidas adequadas. O Fail2Ban também pode proteger outros serviços além do SSH (o que é importante se você tiver um servidor FTP).
PermitRootLogin without-password protege você contra alguém adivinhando a senha do root para acesso SSH (Evita ataques de força bruta por adivinhação de senha, já que mesmo se eles acertarem a senha ainda não funcionará )
Ele não protege quaisquer outros serviços no host, nem protege você contra alguém que esteja adquirindo uma chave SSH válida (portanto, você está à mercê de todos os usuários que possuem chaves válidas para sua conta root e da segurança de seus usuários). laptops / telefones celulares / etc).