Моя среда - Ubuntu 14.04, стек LAMP от apt.
реализован fail2ban и настроен jail.local с участием
backend = auto
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 2
Я бегаю tail -f /var/log/auth.log а также tail -f /var/log/fail2ban.log и ждать.
Вскоре auth.log покажет, что кто-то пытается войти, но независимо от того, сколько раз тот же ip пытается, fail2ban не забанит его.
Если я бегу sudo service fail2ban restart затем я останавливаюсь и запускаю сообщения INFO в журнале fail2ban, за которым следуют все пропущенные обнаружения, и если нет, время соответствует настройке fail2ban воля забанить ip как положено.
Я сделал еще один тест и закрыл хвост на auth.log - и кажется, что fail2ban не улавливает злые IP-адреса.