На дистрибутивах, работающих на базе Red Hat, таких как Fedora/CentOS/RHEL, вы можете проверить пользователей, вошедших в файл /var/log/secure
.
Если вам нужна дополнительная информация, прочтите этот вопрос-ответ SuperUser под заголовком: Как я могу регистрировать попытки доступа к SSH и отслеживать, что пользователи SSH в конечном итоге делают на моем сервере?.
.