Solution 1 :
Eh bien, un élément que vous n'avez pas mentionné est les empreintes digitales des clés privées qu'ils ont essayées avant de saisir un mot de passe. Avec openssh , si vous définissez LogLevel VERBOSE en /etc/sshd_config , vous les obtenez dans les fichiers journaux. Vous pouvez les comparer à la collection de clés publiques que vos utilisateurs ont autorisées dans leurs profils, pour voir si elles ont été compromises. Dans le cas où un attaquant a mis la main sur la clé privée d'un utilisateur et recherche le nom de connexion, savoir que la clé est compromise pourrait empêcher l'intrusion. Certes, c'est rare :qui possède une clé privée a probablement aussi découvert le nom de connexion...
Solution 2 :
Aller un peu plus loin dans le LogLevel DEBUG , vous pouvez également connaître le logiciel client/la version au format
Client protocol version %d.%d; client software version %.100s
Il imprimera également l'échange de clés, les chiffrements, les MAC et les méthodes de compression disponibles lors de l'échange de clés.
Solution 3 :
Si les tentatives de connexion sont très fréquentes ou se produisent à toute heure de la journée, vous pouvez suspecter que la connexion est effectuée par un bot.
Vous pourrez peut-être déduire les habitudes de l'utilisateur à partir de l'heure à laquelle il se connecte ou d'une autre activité sur le serveur, c'est-à-dire que les connexions sont toujours N secondes après un hit Apache à partir de la même adresse IP, ou une requête POP3, ou un git tirer.