สามารถเรียนรู้อะไรเกี่ยวกับ 'ผู้ใช้' จากความพยายาม SSH ที่เป็นอันตรายที่ล้มเหลว
- ชื่อผู้ใช้ที่ป้อน (
/var/log/secure
) - ป้อนรหัสผ่าน (หากกำหนดค่าเช่นใช้โมดูล PAM)
- ที่อยู่ IP ต้นทาง (
/var/log/secure
)
มีวิธีใดบ้างในการแยกสิ่งอื่นออก ไม่ว่าจะเป็นข้อมูลที่ซ่อนอยู่ในล็อกไฟล์เทคนิคสุ่มหรือจากเครื่องมือของบุคคลที่สามเป็นต้น