Eu monitorei o log do fail2ban para observar as entradas de IPs proibidos. Por não ver meu IP, eu sabia que algo estava errado.
Para monitorar o log:
tail -f /var/log/fail2ban.log
Eu monitorei o log que o fail2ban deveria estar assistindo para confirmar que logins com falha estavam sendo registrados.
Para monitorar o log do Apache:
tail -f /var/log/apache2/error.log
No final, criei novamente o jail.local, que substitui o jail.conf. Jail.conf é um backup da configuração original e jail.local é o que você deve modificar para atender às suas necessidades de sistemas, mantendo jail.conf por perto apenas para este propósito.
Em seguida, eu ativei cada configuração de bloqueio, um por um, testando pelo método acima e confirmando que ele funciona antes de ativar o próximo.
A configuração específica do apache para que eu permita monitorar o HTAccess Apache Auth foi:
#
# HTTP servers
#
[apache]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 2
Ou para o NGinX
[nginx-http-auth]
enabled = true
filter = nginx-http-auth
port = http,https
logpath = /var/log/nginx/error.log
maxretry = 2