Eu não sou um grande fã do fail2ban, pois ele só é eficaz contra invasores que não têm centenas / milhares de endereços IP para usar em um ataque distribuído de força bruta. Por isso, só pega os atacantes que fazem todo o seu brute-force a partir de um único endereço IP.
Os anfitriões são pegos pelo mal? Bem, eles estão pelo menos infectados pelo código bot para que possam ser usados em ataques.
Durante a última década, achei mais lucrativo focar nas coisas que você já fez e mover minha energia para evitar outras vias de ataque. Acho melhor ter uma abordagem de lista de permissões para a segurança, em vez de uma abordagem de lista negra retroativa / reacionária.
Necessário para proteger o SSH:
- Desativando o login da conta "root"
- Usando a autenticação de chave pública para contas
- Limitando contas baseadas em senha a intervalos de IP específicos (ainda considero isso muito arriscado)
Extremamente útil:
- Limitando o acesso ao servidor e / ou porta a partes específicas do mundo usando uma caixa de firewall.
- Mover a porta SSH do padrão, o que reduzirá bastante a quantidade de arquivos de log que você precisa filtrar (automatizada ou manualmente).
Sei que essa não é a resposta técnica que você está procurando.