Vous devriez utiliser une solucion pour la surveillance des journaux comme OSSEC, il cherchera dans vos journaux des informations de sécurité (y compris login, sudo, etc.) et vous enverra un e-mail lorsque l'alerte est importante.
Il est facile à configurer et vous pouvez augmenter le niveau d'alerte pour les e-mails ou inclure un alert-by-email sur l'alerte spécifique.
Il peut également effectuer une réponse active configurable, bloquer les adresses IP et refuser l'accès pendant une période de temps par défaut.
vous pouvez mettre ceci dans votre .bashrc
echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL
Léger changement de la solution Adams qui ne casse pas si root est connecté à plus d'un terminal :
login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"