fail2ban allerdings hat IMHO schon einen Nutzen, nämlich genau den gleichen wie den SSH-Port auf was anderes als 22 zu verlegen -> die Logs werden nicht komplett zugemüllt.
Da muss ich Dir nun teilweise widersprechen, denn wie der verlinkte Artikel zeigt, gab (zumindest dieser einfache "Loginjection"-Angriff ist wohl gefixt) es in dem Fall eine Möglichkeit eines einfachen DoS _weil_ fail2ban oder ein anderes Tool installiert war.
Dann doch lieber Port verlegen, wobei natürlich (ich denke da besteht bei uns Konsens) die wirklich wichtigen Maßnahmen in der sicheren Konfiguration des Dienstes liegen und da besteht beim TE noch ein deutliches Defizit.
Außerdem kann man damit wenigstens die "dümmsten" DDOS-Attacken verhindern -> ist doch schon mal was.
Aber klar, gegen "intelligente" DDOS-Attacken bringt das alles nix....
Nun ja, dumm oder intelligent will ich gar nicht mal unterscheiden, gegen eine "richtige" DoS-Attacke mit entsprechender Bandbreite und Streuung (DDoS) ist eh kein Kraut gewachsen (zumindest keines, welches man _auf_ seiner Kiste installieren kann, das muss dann schon der Hoster an seiner Firewall/Gateway/Router wegwerfen).
Ich will auch saubere Logs und nutze Portknocking, nur das macht dann z.B. keinen Sinn, wenn viele User SSH-Zugriff haben sollen (bei mir soll das nur ein User dürfen, namentlich meinereiner).
Trotzdem (OK, auch hier besteht sicher Konsens) war Schritt Nr.1 die sichere Konfiguration des Dienstes, alles andere sind Features, die man haben kann, aber die die wirklich wichtigen Maßnahmen nie ersetzen und maximal ergänzen können, immer mit der Gefahr sich dadurch ein weiteres Leck zu bohren.
Ich besitze vielleicht ein gutes Maß an Phantasie, aber sich "meinen" DoS-Angriff von vorhin auszudenken, war wirklich nicht schwer, ich bin mir sicher, daß da draussen noch sehr viel phantasievollere und cleverere Burschen/Mädels sind, die noch viel bessere Ideen haben, wie man die Tatsache ausnutzen kann, daß sich jemand solche Zusatztools installiert.
Complexity breeds Bug .....
Greetz,
RM