Самый простой способ - повесить на 22й порт какой-нибудь ханипот, который все попытки будет логировать, а настоящий SSH-сервер повесить на другой порт.
Логирование входов по SSH - это не только присмотр за хакерами.
Это еще и возможность подглядеть пароли легальных пользователей (например, админу хостера их знать не положено).
Даже если будут писаться только ошибочные - по паролю с опечаткой легко восстанавливается настоящий...
Например бесконечный источник пополнения баз для брута ;'-} Только самые не умные челики будут добавлять в базы рандомные пароли, т.к. шанс их попадания равен 1 к ∞ Я же не знаимаюсь этим, но интересно, какая гадость туда вливается 24/7 (т.к. мой сайт давно ищут модоюзеры по моему нику, он уже давно в поисковой системе первой строкой), а тем более что из них чаще!
Всё зависит от разрешённого метода аутентификации и примет ли его клиент, при попытке даунгрейда (с public-key на password plain text).
Если стандартно - то просто забудьте, т.к. обмен идёт при проверке корректности аутентификации исключительно hash-сообщениями в режиме публичного ключа.
