No permitimos inicios de sesión directos como root a través de ssh, pero obviamente a través del acceso a la consola. ¿Es posible registrar inicios de sesión directos como root y tal vez enviar un correo electrónico o escribir en un archivo de registro si alguien inicia sesión a través de la consola usando root?
Usamos Centos 5/6
Respuesta1
El proceso de inicio de sesión de Linux se rige principalmente porPAM(Módulos de autenticación conectables para Linux), que es un conjunto de bibliotecas compartidas que permiten al administrador del sistema local elegir cómo las aplicaciones autentican a los usuarios.
De forma predeterminada, algunos mensajes PAM ya están registrados en syslog, por lo que al monitorearlos puede activar notificaciones. Específicamente, los eventos de inicio de sesión se registran /var/log/securede forma predeterminada. Puede monitorear este archivo para sus alertas.
Alternativamente puedes usarpam_execpara ejecutar un comando de notificación específico como parte de un evento de inicio de sesión exitoso.
session [default=1 success=ignore] pam_succeed_if.so quiet uid = 0
session required pam_exec.so /usr/bin/wall "root has logged in!"