Мы не разрешаем прямой вход root через ssh, но, очевидно, через консольный доступ. Можно ли регистрировать прямые входы в систему с root-доступом и, возможно, отправлять электронное письмо или записывать в файл журнала, если кто-то входит через консоль с использованием root?
Мы используем Centos 5/6
Процесс входа в Linux в основном регулируется PAM (Подключаемые модули аутентификации для Linux), который представляет собой набор общих библиотек, которые позволяют локальному системному администратору выбирать, как приложения аутентифицируют пользователей.
По умолчанию некоторые сообщения PAM уже регистрируются в системном журнале, поэтому, отслеживая, вы можете запускать уведомления. В частности, события входа регистрируются в /var/log/secure по умолчанию. Вы можете отслеживать этот файл для своих предупреждений.
В качестве альтернативы вы можете использовать pam_exec для выполнения определенной команды уведомления как части успешного события входа в систему.
session [default=1 success=ignore] pam_succeed_if.so quiet uid = 0
session required pam_exec.so /usr/bin/wall "root has logged in!"