1) Estabelecido apenas significa que a conexão está totalmente aberta e os dados podem ser transmitidos. Isso não significa necessariamente que qualquer dado foi transmitido! Não implica em nada sobre a camada 7, se alguém se autenticou no seu sistema ou não. Você pode verificar seus registros do sistema para saber se alguém foi autenticado com sucesso. (source)
2) Talvez. Você precisará verificar seus logs e ver se alguém foi autenticado com sucesso. No Ubuntu, os logs do ssh podem ser encontrados em /var/log/auth
Não se esqueça de que você pode usar o bruteforce da senha de uma chave ssh.
Em uma nota lateral, reconstruir uma chave privada de uma pública é tecnicamente impossível no momento
Eu recomendaria usar alguns autenticação de dois fatores com ssh e Fail2ban
O Fail2ban verifica os arquivos de registro (por exemplo, / var / log / apache / error_log) e proíbe os IPs que exibem os sinais maliciosos - muitas falhas de senha