Meu auth.log contém esses dois tipos de entradas para ssh: Estes
Jun 27 07:28:25 myhost sshd[26898]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=some.ip.address.123 user=git
e estes
Jun 20 21:46:18 myhost sshd[13881]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=some.ip.address.234
Como você pode ver, o segundo tipo não inclui um campo "user=". Caso contrário, eles têm o mesmo formato. O que isso significa? É possível tentar o login ssh sem um nome de usuário?
As linhas sem o ruser são gravadas se o usuário fornecido for inválido em seu sistema (tente com ssh whateverthereisnot@localhost ).
Os nomes de usuários desconhecidos geralmente não são registrados nos registros porque podem ser nomes de usuário para um sistema diferente (tentativa de login acidental na máquina errada) ou, pior ainda, senhas (digitadas acidentalmente no campo nome de usuário).
Tags sshd authentication logs