Есть ли причина использовать fail2ban с отключенным паролем SSH?

Ботнет будет отмечать вас как недоступный на некоторое время (и снова начнет атаку через несколько часов / дней). Таким образом, трафик по вашей ссылке снизится, но все равно не так сильно :) Это мой опыт, но я не использую fail2ban, но простой iptables правило

-N SSH
-A INPUT -j SSH
-A SSH -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
-A SSH -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 240 --hitcount 5 --rttl --name SSH --rsource -j DROP
-A SSH -p tcp -m tcp --dport 22 -j ACCEPT

Единственное возможное преимущество состоит в том, что вы знаете, что «атакующий» IP - это «плохой парень» или взломанная машина, и, вероятно, все равно не хотите с ними разговаривать. Вероятно, они попробуют другие протоколы. Если у вас их нет, не о чем беспокоиться.

Это может немного снизить пропускную способность. Это определенно уменьшит количество спама в ваших журналах (по этой причине я меняю свой SSH-порт на 2222, но не рекомендую эту тактику, если у вас нет небольшой группы администраторов, имеющих доступ к ящику).

Технически возможно, что они могут угадать SSH-ключ, но совершенно нереально думать, что это когда-либо произойдет. Я бы рекомендовал менять ваши SSH-ключи каждые несколько лет (чтобы убедиться, что вы используете «текущую» технологию, и чтобы проверить документацию, относящуюся к системе).

Fail2ban предназначен не только для атак методом перебора ssh. Если у вас есть Apache, Postfix, Dovecot или другие службы, поддерживаемые Fail2ban, вы можете защитить эти службы.

Вы даже можете создать свои собственные фильтры и правила, соответствующие вашим конкретным потребностям, например, веб-приложение Java, которое регистрирует неудачные попытки входа в систему, может блокировать IP-адрес каждые 10 попыток за последние 5 минут и блокировать его на час.

Итак, да, есть разные причины использовать fail2ban, даже если ssh отключен.