Я купил статический IP у своего провайдера и решил разрешить доступ по ssh только с этого IP. Преимущества очевидны: никто, кроме меня, не сможет войти на ваш сервер. Никто не сможет угадать ваш пароль. И необходимость в fail2ban отпадет. 
Короче говоря, статический IP сам по себе является достаточным плюсом.
Есть только один способ сделать это: указать разрешенный ip в файле etc/hosts.allow. Вставьте в него такую строку
sshd: 127.0.0.1
Замените 127.0.0.1 на свой собственный IP-адрес.
Откройте следующий файл — /etc/hosts.deny и поместите в него следующее
SSHD: ВСЕ
Теперь перезапустите ssh с помощью команды service ssh restart.
Второй метод: используйте iptables для ограничения доступа.
Если ваш брандмауэр открыт, вам нужно разрешить доступ только с вашего собственного IP и заблокировать другие. замените 127.0.0.1 на ваш IP.
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 22 -j accept iptables -A INPUT -p tcp --dport 22 -j DROP
Если ваш брандмауэр закрыт, вам нужно разрешить доступ только к себе.
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 22 -j accept
В обоих вариантах замените 127.0.0.1 на свой ip.
