Você pode (por padrão) verificar essas falhas em /var/log/auth.log
Acabei de digitar uma senha errada para o login no ssh @ root.
Eu fui para
/var/log/faillog
Mas o arquivo está vazio (o tamanho do arquivo é: 32 Byte)
Ok, em auth.log, este é spam:
reverse mapping checking getaddrinfo for dinamic-tigo186-180-143-166.tigo.com.co [186.180.143.166] failed - POSSIBLE BREAK-IN ATTEMPT!
Feb 21 03:44:22 ns3xxxx9 sshd[7497]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=186.180.143.166 user=root
O que é isso?
A primeira linha significa que uma tentativa de conexão foi recebida de um endereço IP. O servidor ssh tentou inverter a resolução do endereço e obteve um nome de host ( dinamic-tigo186-180-143-166.tigo.com.co ), mas quando tentou encaminhar resolver esse nome de host para retornar ao endereço IP original, ele falhou. Isso não é fatal, geralmente significa que outra pessoa errou o DNS, mas o ssh permite que você saiba que essa entrada de log falhou em um teste básico que eu posso usar.
A segunda linha significa que alguém do mesmo endereço IP tentou usar o ssh como root e falhou.
Se você obtiver muitos do segundo tipo de entrada e quiser tornar as coisas mais difíceis para as pessoas, eu escrevi um artigo sobre técnicas para lidar com a adivinhação automática de senhas ssh que podem lhe interessar, embora não cubra as tecnologias fail2ban e similares (porque eu não gosto delas).