A resposta para isso está em sshd.conf e sshd_config (servidor ) e ssh_config (cliente). Dependendo do nível de log, ele registra em /var/log/syslog (padrão) e / ou /var/log/auth.log (loglevel 'verbose' contém tentativas de login ssh).
Se presente /var/log/secure também contém um log de acesso.
Você precisará do root / sudo access para editar qualquer um desses arquivos: eles serão legíveis, mas não editáveis pelo mundo.
Próximo a isso. Além do login do daemon ssh, o comando last também mostra logins (com falha) de ssh. A informação para este comando vem de /var/log/wtmp (Haverá vários mais eu aposto).
E há também a probabilidade de o sysadmin instalar auditd ou logwatch , tornando praticamente impossível ocultar a atividade, já que eles poderiam obter um aviso baseado na atividade desfazendo o registro da atividade do ssh, impossível.
Exemplo de /var/log/auth.log :
Aug 10 10:10:10 rinzwind sshd[3653]: Invalid user text from {ipadress}
Aug 10 10:10:10 rinzwind sshd[3653]: Excess permission or bad ownership on file /var/log/btmp
Aug 10 10:10:10 rinzwind sshd[3653]: error: Could not get shadow information for NOUSER
Aug 10 10:10:10 rinzwind sshd[3653]: Failed password for invalid user test from {ipadress} port {port} ssh2
Aug 10 10:10:10 rinzwind sshd[3653]: Excess permission or bad ownership on file /var/log/btmp