Я бы сказал, что журналы мониторинга являются слабым решением, особенно если у вас слабый пароль в учетной записи. Жесткие попытки часто пытаются использовать по меньшей мере сотни ключей в минуту. Даже если у вас есть задание cron, чтобы отправить вам по электронной почте грубые попытки, может быть, за несколько часов до вашего выхода на ваш сервер.
Я настоятельно рекомендую fail2ban.
Fail2ban сканирует файлы журналов (например, /var/log/apache/error_log) и запрещает IP-адреса, которые показывают вредоносные знаки - слишком много сбоев паролей, поиск эксплойтов и т. Д. Обычно Затем Fail2Ban используется для обновления правил брандмауэра для отклонения IP-адресов в течение определенного времени, хотя любое другое действие (например, отправка электронной почты или извлечение лотка для CD-ROM) также может быть настроено. Вне коробки Fail2Ban поставляется с фильтрами для различных сервисов (apache, curier, ssh и т. Д.).Получение защиты от него так же просто, как sudo apt-get install fail2ban.
По умолчанию, как только у кого-то есть три неудачных попытки, их IP получает пятиминутный запрет. Такая задержка по существу останавливает попытку грубой силы SSH, но она не разрушит ваш день, если вы забудете свой пароль (но вы все равно должны использовать ключи!)