>> Всем доброго времени суток!
>> Люди подскажите, интересует такая тема.
>> На хосте заведен пользователь, в его authorized_keys прописаны несколько ключей других
>> юзеров. Так вот, есть ли возможность определить кто конкретно зашел, чей
>> ключ использовался для входа под этим пользователем? может syslog както нужно
>> подтюнить?
> нет, если память не изменяет.

в /etc/ssh/sshd_config
меняешь LogLevel с INFO на VERBOSE

в ~/.ssh/authorized_keys
после каждого сертификата прописываешь имя человека

#cat /var/log/auth.log
Nov 10 13:01:48 server sshd[25575]: fatal: Cannot bind any address.
Nov 10 13:01:54 server sshd[25581]: Connection from 89.175.163.34 port 62497
Nov 10 13:01:55 server sshd[25581]: Address 89.175.163.34 maps to volleyservice.ru, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Nov 10 13:01:55 server sshd[25581]: Failed none for root from 89.175.163.34 port 62497 ssh2
Nov 10 13:01:55 server sshd[25581]: Found matching RSA key: 92:ee:08:92:eb:01:34:9e:ce:a2:14:a0:b4:f2:8f:10
Nov 10 13:01:55 server sshd[25581]: Found matching RSA key: 92:ee:08:92:eb:01:34:9e:ce:a2:14:a0:b4:f2:8f:10
Nov 10 13:01:55 server sshd[25581]: Accepted publickey for root from 89.175.163.34 port 62497 ssh2
Nov 10 13:01:55 server sshd[25581]: pam_unix(sshd:session): session opened for user root by (uid=0)
Nov 10 13:02:01 server CRON[25678]: pam_unix(cron:session): session opened for user root by (uid=0)

~# ssh-vulnkey
/etc/ssh/ssh_host_rsa_key:1: Unknown (blacklist file not installed): RSA 2048 0b:28:dd:24:20:35:67:83:51:1f:53:e7:84:a4:5d:b1 /etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_dsa_key:1: Unknown (blacklist file not installed): DSA 1024 48:b0:02:c4:ff:2f:ed:91:24:25:b2:51:45:c9:77:ab /etc/ssh/ssh_host_dsa_key.pub
/root/.ssh/authorized_keys:1: Unknown (blacklist file not installed): RSA 2048 92:ee:08:92:eb:01:34:9e:ce:a2:14:a0:b4:f2:8f:10 Luchnoy Aleksey

скрипт который все это обработает думаю уже сможешь написать сам
удачи