Soluzione 1:
Bene, un elemento che non hai menzionato sono le impronte digitali delle chiavi private che hanno provato prima di inserire una password. Con openssh , se imposti LogLevel VERBOSE in /etc/sshd_config , li ottieni nei file di registro. Puoi confrontarli con la raccolta di chiavi pubbliche che i tuoi utenti hanno autorizzato nei loro profili, per vedere se sono stati compromessi. Nel caso in cui un utente malintenzionato si impossessi della chiave privata di un utente e stia cercando il nome di accesso, sapere che la chiave è compromessa potrebbe impedire l'intrusione. Certo, è raro:chi possiede una chiave privata probabilmente ha scoperto anche il nome di login...
Soluzione 2:
Andando un po' oltre nel LogLevel DEBUG , puoi anche trovare il software/la versione del client in formato
Client protocol version %d.%d; client software version %.100s
Stamperà anche lo scambio di chiavi, le cifre, i MAC ei metodi di compressione disponibili durante lo scambio di chiavi.
Soluzione 3:
Se i tentativi di accesso sono molto frequenti o avvengono a tutte le ore del giorno, allora potresti sospettare che l'accesso sia eseguito da un bot.
Potresti essere in grado di dedurre le abitudini dell'utente dall'ora del giorno in cui effettuano l'accesso o altre attività sul server, ovvero gli accessi sono sempre N secondi dopo un hit Apache dallo stesso indirizzo IP, o una richiesta POP3 o un git tirare.