resposta curta : há muitas conexões.
resposta longa :
Você se conecta a um host Linux de várias maneiras: telnet & rlogin (nos tempos antigos), ssh , sftp , ftp , ftps , X11 remoto, rdp , mysql , http , vnc , ...
Alguns protocolos são chamados de 'interativos' (ssh, vnc) enquanto outros menos (mysql).
Alguns usam credenciais "unix" ( /etc/passwd & /etc/shadow ) e arquivos de log ( /var/log/messages ): ssh / ftp.
Alguns possuem seus próprios (mysql (acesso e senha no banco de dados), vnc (arquivo de senhas privadas)).
Em muitos sistemas de produção com os quais trabalho, você não usa contas nomeadas (por exemplo, archemar), usa um conjunto de contas padrão (raiz, SIDadm para sistema SAP), o que torna quase impossível saber qual registro de ser humano no sistema. (E sim, isso é um problema)
Além disso, o sistema de produção troca entre 1 e 100 arquivos por minuto, cada um rastreado em algum arquivo de log usando unix ou credencial específica. Analisar arquivos de log é uma tarefa chata e é feita principalmente após um travamento do sistema ou mais raramente em uma auditoria.
Você pode, no entanto, tentar analisar /var/log/messages e /var/log/secure para saber se um ser humano, com o id simples do unix (! = 0), efetua login em seu sistema.
Você também pode usar o comando last e who .