Мы не разрешаем прямой вход root через ssh, но, очевидно, через доступ к консоли. Возможно ли регистрировать прямой вход root и, возможно, отправлять электронное письмо или записывать в файл журнала, если кто-то входит через консоль, используя root?
Мы используем Centos 5/6
решение1
Процесс входа в систему Linux в первую очередь регулируетсяПАМ(Подключаемые модули аутентификации для Linux), представляющие собой набор общих библиотек, которые позволяют локальному системному администратору выбирать, как приложения будут аутентифицировать пользователей.
По умолчанию некоторые сообщения PAM уже регистрируются в syslog, поэтому, отслеживая их, вы можете запускать уведомления. В частности, события входа регистрируются /var/log/secureпо умолчанию. Вы можете отслеживать этот файл для своих оповещений.
В качестве альтернативы вы можете использоватьpam_execдля выполнения определенной команды уведомления в рамках события успешного входа в систему.
session [default=1 success=ignore] pam_succeed_if.so quiet uid = 0
session required pam_exec.so /usr/bin/wall "root has logged in!"