Das System muss sicher sein, egal ob dein SSH auf Port 22 oder 222 läuft, egal ob du fail2ban benutzt oder nicht. Ist das so, dann hast du Security. Der ganze Rest ist Obscurity.
Und da sind wir beim Punkt: 100% Sicherheit gibt es nie, was gerade die jüngste Vergangenheit gezeigt hat, sei es Spectre, Meltdown, Heartbleed oder sonst was. Und dann ist es doch besser, wenn man potentielle Angreifer frühzeitig aussperrt, anstatt sie "unendlich lange" probieren zu lassen. Auf jedem System läuft ja Drittsoftware bei der du dir nie 100% sicher sein kannst, dass es keine Sicherheitslücken gibt. Und das Verwenden von fail2ban hat schlichtweg nichts mit Obscurity zu tun sonder ist "reale" Security, keine Ahnung warum du fail2ban mit diesem Begriff schlechtreden willst.
Was gefährlich an deinem Post ist: Du vermittelst den Eindruck, fail2ban zu benutzen wäre was für "Anfänger" und echte Profis bräuchten das nicht weil deren Systeme zu 100% sicher sind, was totaler Schwachsinn ist; zudem sagst du fail2ban bringt "keine zusätzliche Sicherheit". Und selbst wenn der Key sicher erzeugt ist, kann er immer mal abhanden kommen, in irgendwelchen Datenbanken landen oder sonst wo enden weil der "Login-PC" infiziert ist/war. Und dann will man nicht das ein Angreifer alle Zeit der Welt hat alle jemals geleakten Keys zu testen. Oder Rainbow-Tables an Passwörtern. Laut deiner Argumentation wären ja auch IPS (Intrusion Prevention System) und IDS (Intrusion-Detection-Systeme) völlig unnötig, da ja jeder alles 100% sicher machen kann.
Ich sehe absolut keinen Grund, Bruteforce "zu dulden" einfach nur weil man sagt "pff mein System ist sicher macht nur" und Methoden, um dies effektiv zu verhindern, abwertend als "Obscurity" darzustellen. Schon nur weil Bruteforce Attacken eine Systemlast erzeugen, die Logs zumüllen und das Netzwerk belasten (wenn auch nur minimalst). Außerdem, wer weiß, vielleicht Schütz fail2ban dich vor einer Sicherheitslücke die noch nicht entdeckt wurde in deinem perfekt sicheren Setup weil sie noch keiner kennt außer ein paar böse Buben
Und nirgendwo wurde geschrieben, das fail2ban schwache Passwörter "stark" macht. Natürlich ist eine zusätzliche Maßnahme wie fail2ban kein Grund, andere Sicherheitsmaßnahmen zu ignorieren. Zum Thema IP: IPv6 ist generell verboten für SSH, da fail2ban in Debian das noch nicht supported (wenn dann würde ich den ganzen 64er-Block sperren), und bei IPv4 hat man als Angreifer auch nicht mal auf die schnelle ein paar Millionen Adressen zum durchprobieren, außer der Angreifer ist ein großer Brocken der es ernst meint.
Gerne kannst du mich aber auch vom Gegenteil überzeugen indem du mir beweist, dass es niemals eine Sicherheitslücke geben wird oder kann in der fail2ban dir ein Plus an Sicherheit gibt