Solusi 1:
Nah, item yang belum Anda sebutkan adalah sidik jari dari kunci privat yang mereka coba sebelum memasukkan kata sandi. Dengan openssh , jika Anda menyetel LogLevel VERBOSE di /etc/sshd_config , Anda mendapatkannya di file log. Anda dapat membandingkannya dengan kumpulan kunci publik yang telah diotorisasi oleh pengguna Anda di profil mereka, untuk melihat apakah kunci tersebut telah disusupi. Jika penyerang mendapatkan kunci pribadi pengguna dan sedang mencari nama login, mengetahui bahwa kunci tersebut disusupi dapat mencegah intrusi. Memang, ini jarang terjadi:siapa yang memiliki kunci pribadi mungkin juga mengetahui nama loginnya...
Solusi 2:
Melangkah lebih jauh ke dalam LogLevel DEBUG , Anda juga dapat mengetahui perangkat lunak/versi klien dalam format
Client protocol version %d.%d; client software version %.100s
Itu juga akan mencetak pertukaran kunci, penyandian, MAC, dan metode kompresi yang tersedia selama pertukaran kunci.
Solusi 3:
Jika upaya login sangat sering atau terjadi sepanjang hari, Anda dapat menduga bahwa login dilakukan oleh bot.
Anda mungkin dapat menyimpulkan kebiasaan pengguna dari waktu mereka masuk atau aktivitas lain di server, yaitu login selalu N detik setelah serangan Apache dari alamat IP yang sama, atau permintaan POP3, atau git tarik.