Dovresti utilizzare una soluzione per il monitoraggio dei log come OSSEC, che cercherà nei tuoi log informazioni di sicurezza (inclusi login, sudo, ecc.) e ti invierà un'e-mail quando l'avviso è importante.
È facile da configurare e puoi aumentare il livello di allerta per le e-mail o includere un alert-by-email sull'avviso specifico.
Può anche eseguire una risposta attiva configurabile, bloccando gli IP e negando l'accesso per un periodo di tempo per impostazione predefinita.
potresti metterlo nel tuo .bashrc
echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL
Leggera modifica della soluzione adams che non si interrompe se root è connesso a più di un terminale:
login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"