我们不允许通过SSH直接login,但显然通过控制台访问。 是否有可能login直接rootlogin,并可能发送电子邮件或写入日志文件,如果有人通过使用rootlogin控制台?
我们使用Centos 5/6
Linuxlogin过程主要由PAM (Pluggable Authentication Modules for Linux)来pipe理,它是一套共享库,使本地系统pipe理员可以select应用程序如何authentication用户。
默认情况下,一些PAM消息已经logging到系统日志,因此通过监控您可以触发通知。 具体来说,login事件默认logging到/var/log/secure 。 你可以监视这个文件的警报。
或者,您可以使用pam_exec将特定的通知命令作为成功login事件的一部分执行。
session [default=1 success=ignore] pam_succeed_if.so quiet uid = 0 session required pam_exec.so /usr/bin/wall "root has logged in!"