La manera más usual para conectarnos a un servidor Linux es usando ssh. Esto lo sabemos nosotros y también algún usuario malicioso. De hecho cuando recibo el email de logwatch encuentro cosas como esta:
sshd:
Authentication Failures:
root (58.218.198.151): 5245 Time(s)
root (116.31.116.28): 2060 Time(s)
root (59.45.175.67): 360 Time(s)
root (59.45.175.62): 274 Time(s)
root (221.194.47.252): 237 Time(s)
root (121.18.238.123): 226 Time(s)
root (121.18.238.119): 192 Time(s)
root (59.45.175.56): 186 Time(s)
root (221.194.44.240): 153 Time(s)
root (59.45.175.88): 141 Time(s)
root (59.45.175.66): 135 Time(s)
Como ven, muchos intentos de ingresar al server, por lo que siempre es mejor agregarle una capa extra de seguridad a nuestro acceso.