Verklig säkerhet är precis vad det låter som att din installation är säker med säkra lösenord, rätt programvaruversion, bara rätt version av ssh-protokollet aktivt, minsta möjliga rättigheter på alla nivåer av din härdade ssh-bastion och självklart gärna ssh-nycklar alt flerfaktor eller enbart one time password osv.
Vad gäller kicka tänkte jag irc då man ofta gör kick följt av ban då användaren finns i kanalen. fail2ban blockar ip:t efter x misslyckade försök till ssh så i princip kick från ssh och ban från fail2ban.
Visst dom loggas x+1 gånger. x från ssh 1 från fail2ban vad jag kommer ihåg.
Flyttar du porten så ansluter förvisso färre rena sshbottar men som sagt med verklig säkerhet är dom sällan nåt direkt hot då dom väldigt sällan bruteforcar tillräckligt säkra lösenord. Men förvisso oddsen kanske minskar något när det kommer en zero-day dock misstänker jag att det är marginellt då det är känt att folk flyttar ssh.
Svårt att se att du kan låta bli att köra fail2ban för att du kör den på alternativ port för bottar kan fortfarande hitta dit.
Fast om du nu säger att man maximerar säkerheten genom att flytta sshporten bör du ju isåfall även kombinera det med portknocking då det ökar säkerheten ännu mer då korrekt knocksekvens är svår att replikera med en slumpmässig portscan.
En ståldörr är en ståldörr oavsett om den är gömd bakom en buske eller inte. Visst något färre idioter kommer försöka sparka sönder den för att dom inte ser den för busken men dom som ser den trots busken är mer troligt dom som skulle varit ett hot ändå.