Csináltam egy nem ortodox megoldást, lehet, hogy szabályokkal ellentétes, és sokan a fejemet akarják majd, viszont gondot nem okozott, sőt...
Az ssh-n esetleges sikeres belépés után nem a /bin/bash-t futtatja, hanem egy bash scriptet, amely további azonosításokat kér. Ha beléptél, a script már el is emailezte a logfájl utolsó sorait egy külső emailcímre, valamint szintén egy külső címre kapok egy emailt, hogy xy ip-ről z időpontban sikeres belépés történt t juzernévvel.
A scriptet ctrl+c-vel megszakítva dobja a kapcsolatot, és az illető ip-t 10 perces banlistára helyezi.
Ha a script is azonosított, akkor megkapod a /bin/bash promtját, és a script kilép.
Hatásai: ha be is törnének, és törölnék a logokat, legalább a betörő kilétét fel tudom majd fedni.
Persze, már a belépésig is védve van a rendszer a "klasszikus" megoldásokkal (alternatív port, próbálkozások limitálása, stb.)