Esta resposta é específica para o Leão da Montanha (10.8):
Em um nível geral, em vez de usar o comando who
, você pode ter um monitor do daemon /var/log/system.log
.
Especificamente, procure por esses tipos de mensagens:
Jan 22 01:06:26 hostname sshd[1787]: input_userauth_request: invalid user foo [preauth]
Jan 22 01:06:58 hostname sshd[1794]: error: PAM: authentication error for root from 1.2.3.4 via 5.6.7.8
Eu percebo que essa é uma pergunta antiga, mas também estou procurando uma solução mais concreta (e talvez pronta) para isso; você (OP) conseguiu encontrar uma resposta satisfatória?
Como um aparte, pode ser mais benéfico perguntar em AskDifferent .