Solución 1:
Bueno, un elemento que no ha mencionado son las huellas dactilares de las claves privadas que probaron antes de ingresar una contraseña. Con openssh , si establece LogLevel VERBOSE en /etc/sshd_config , los obtiene en los archivos de registro. Puede compararlas con la recopilación de claves públicas que sus usuarios han autorizado en sus perfiles para ver si se han visto comprometidas. En el caso de que un atacante se haya apoderado de la clave privada de un usuario y esté buscando el nombre de inicio de sesión, saber que la clave está comprometida podría evitar la intrusión. Es cierto que es raro:quien posee una clave privada probablemente también haya descubierto el nombre de inicio de sesión...
Solución 2:
Yendo un poco más lejos en el LogLevel DEBUG , también puede encontrar el software/versión del cliente en formato
Client protocol version %d.%d; client software version %.100s
También imprimirá el intercambio de claves, cifrados, MAC y métodos de compresión disponibles durante el intercambio de claves.
Solución 3:
Si los intentos de inicio de sesión son muy frecuentes o ocurren a todas horas del día, entonces podría sospechar que el inicio de sesión lo realiza un bot.
Es posible que pueda deducir los hábitos del usuario a partir de la hora del día en que inicia sesión u otra actividad en el servidor, es decir, los inicios de sesión siempre son N segundos después de un golpe de Apache desde la misma dirección IP, o una solicitud POP3, o un git tirar.