Você está querendo descobrir isso depois de algo que já aconteceu (forense) ou você está querendo fazer isso para que você possa registrar quem faz o quê?
Para análise forense: No meu sistema Fedora, /var/log/secure
contém registros de cada autenticação de chave pública e nome de usuário, mas não diz qual chave foi usada. Você provavelmente está sem sorte aqui
Para auditoria futura: Você pode usar o arquivo authorized_keys
para definir os comandos para os quais cada login está restrito e, em seguida, executar um programa que registre a autenticação (e possivelmente comandos subsequentes, usando algo como sudoscript ):
If the options phrase at the beginning of a line contains the keyword command="string", then any ssh connection that authenticates using that particular key will only run the command specified, even if the command line it was given specified another command.
Deve ser dito, no entanto, provavelmente faz mais sentido configurar várias contas e, em seguida, configurar uma área de acesso compartilhado ...