Debe usar una solución para monitorear registros como OSSEC, buscará en sus registros la información de seguridad (incluido el inicio de sesión, sudo, etc.) y le enviará un correo electrónico cuando la alerta sea importante.
Es fácil de configurar y puede elevar el nivel de alerta para los correos electrónicos o incluir un alert-by-email en la alerta específica.
También puede hacer una respuesta activa configurable, bloqueando direcciones IP y denegando el acceso por un período de tiempo predeterminado.
podrías poner esto en tu .bashrc
echo 'ALERT - Root Shell Access to' $(hostname) 'on:' `date` `who` \
| mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" YOUREMAIL
Ligero cambio de la solución de Adams que no se rompe si la raíz se registra en más de un terminal:
login_info="$(who | head -n1 | cut -d'(' -f2 | cut -d')' -f1)"
message="$(
printf "ALERT - Root Shell Access (%s) on:\n" "$(hostname)"
date
echo
who
)"
mail -s "Alert: Root Access from ${login_info}" admin <<< "${message}"