il file che ci dice chi si connette al nostro pc o server è /var/log/auth.log
se volete sapere quanti tentativi di autenticazione falliti ci sono stati sulla vostra macchina allora
egrep -ci 'auth.*fail.*;' /var/log/auth.log
se volete sapere da chi provengono, togli il -ci
se vuoi sapere quali utenti hanno tentato di loggarsi
egrep 'Failed password for' /var/log/auth.log
invece se vuoi vedere chi si è loggato
egrep 'Accepted password for' /var/log/auth.log
infine un tutorial per blindare macchine di frontiera con IP pubblico
http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
se vuoi ridurre i tentativi di intrusione si potrebbe provare
http://www.fail2ban.org/wiki/index.php/Main_Page
per uno studio statistico degli attacchi
https://www.netmess.org/examine-your-attackers/
