O que pode ser aprendido sobre um usuário com uma falha na tentativa de SSH?

O que pode ser aprendido sobre um 'usuário' de uma tentativa mal-intencionada de SSH?

• Nome de usuário digitado ( /var/log/secure)
• Senha digitada (se configurada, ou seja, usando um módulo PAM)
• Endereço IP de origem ( /var/log/secure)

Existem métodos para extrair mais alguma coisa? Sejam informações ocultas em arquivos de log, truques aleatórios ou em ferramentas de terceiros etc.

Bem, um item que você não mencionou são as impressões digitais das chaves privadas que eles tentaram antes de digitar uma senha. Com openssh, se você definir LogLevel VERBOSEem /etc/sshd_config, você pegá-los nos arquivos de log. Você pode compará-los com a coleção de chaves públicas que seus usuários autorizaram em seus perfis, para verificar se foram comprometidas. No caso de um invasor se apossar da chave privada de um usuário e procurar o nome de login, saber que a chave está comprometida pode impedir a invasão. É certo que é raro: quem possui uma chave privada provavelmente também descobriu o nome de login ...

Indo um pouco mais longe LogLevel DEBUG, você também pode descobrir o software / versão do cliente no formato

Client protocol version %d.%d; client software version %.100s

Também imprimirá as trocas de chaves, cifras, MACs e métodos de compactação disponíveis durante a troca de chaves.

Se as tentativas de login forem muito frequentes ou ocorrerem a todas as horas do dia, você poderá suspeitar que o login é realizado por um bot.

Você pode deduzir os hábitos do usuário a partir da hora do dia em que eles efetuam login ou outras atividades no servidor, ou seja, os logons são sempre N segundos após um Apache acessar o mesmo endereço IP, uma solicitação POP3 ou um git puxar.