中国とか韓国から ssh へのアタックがうざったい。root とか webmaster とか nobody とかでログイン失敗のログがたくさん。
一般ユーザ以外はログイン出来ないように閉め出してあるってば。
ってなわけで、sshd のログをパイプで食って、あまりに大量にアクセスしてくるようなホストはブラックリストとして /etc/hosts.allow に

sshd: xxx.yyy.zzz.www : deny

という具合に放り込むプログラムを作ってみた。
んでもって、テストしてみた感じでは、うまくいってるみたいなんだけど……どっちにしろ、

refused connect from hogera.example.com (xxx.yyy.zzz.www)

ってなログは残るのね。
Firewall の設定を自動で直す方が良かったかな？