Não permitimos logins root diretos através de ssh, mas obviamente através de acesso ao console. É possível registrar logins diretos de root e talvez enviar um e-mail ou gravar em um arquivo de log se alguém fizer login através do console usando root?
Usamos Centos 5/6
Responder1
O processo de login do Linux é governado principalmente porPAM(Pluggable Authentication Modules for Linux), que é um conjunto de bibliotecas compartilhadas que permite ao administrador do sistema local escolher como os aplicativos autenticam os usuários.
Por padrão, algumas mensagens PAM já estão registradas no syslog, portanto, monitorando você pode acionar notificações. Especificamente, os eventos de login são registrados /var/log/securepor padrão. Você pode monitorar esse arquivo para seus alertas.
Alternativamente você pode usarpam_execpara que um comando de notificação específico seja executado como parte de um evento de login bem-sucedido.
session [default=1 success=ignore] pam_succeed_if.so quiet uid = 0
session required pam_exec.so /usr/bin/wall "root has logged in!"