Então você está tentando bloquear todos os IPs que tentam logar como root? Imagino que a maioria das tentativas de invasão não direcionadas tentará primeiro fazer login como root e, em seguida, tente contas inexistentes suficientes para que o IP seja banido.
Se este não for o caso, talvez você deva mudar sua abordagem.
Eu acho que uma opção melhor do que bloquear o root seria desativar o login externo como root através da configuração do sshd. Isso pode resultar em tentativas de login como root desencadeando uma mensagem de segurança que o fail2ban pode usar.