Lösung 1:
Nun, ein Element, das Sie nicht erwähnt haben, sind die Fingerabdrücke der privaten Schlüssel, die sie ausprobiert haben, bevor sie ein Passwort eingegeben haben. Mit openssh , wenn Sie LogLevel VERBOSE setzen in /etc/sshd_config , Sie erhalten sie in den Protokolldateien. Sie können sie mit der Sammlung öffentlicher Schlüssel vergleichen, die Ihre Benutzer in ihren Profilen autorisiert haben, um festzustellen, ob sie kompromittiert wurden. Für den Fall, dass ein Angreifer in den Besitz des privaten Schlüssels eines Benutzers gelangt ist und nach dem Anmeldenamen sucht, könnte das Wissen, dass der Schlüssel kompromittiert ist, das Eindringen verhindern. Zugegeben, selten:Wer einen privaten Schlüssel besitzt, hat wahrscheinlich auch den Login-Namen herausgefunden...
Lösung 2:
Etwas weiter in die LogLevel DEBUG gehen , finden Sie auch die Client-Software/Version im Format
Client protocol version %d.%d; client software version %.100s
Es druckt auch den Schlüsselaustausch, Chiffren, MACs und Komprimierungsmethoden, die während des Schlüsselaustauschs verfügbar sind.
Lösung 3:
Wenn die Anmeldeversuche sehr häufig sind oder zu allen Tageszeiten stattfinden, könnten Sie vermuten, dass die Anmeldung von einem Bot durchgeführt wird.
Möglicherweise können Sie die Gewohnheiten des Benutzers aus der Tageszeit, zu der er sich anmeldet, oder anderen Aktivitäten auf dem Server ableiten, d. h. die Anmeldungen erfolgen immer N Sekunden nach einem Apache-Hit von derselben IP-Adresse oder einer POP3-Anfrage oder einem Git ziehen.