Paul Tomblin tiene la sugerencia de la derecha.
configurar el registro en su sshd_config para que apunte a un syslog que puede iniciar sesión por separado:
=> ver man 3 syslog para más instalaciones. Elija uno como p. Ej.
# Logging
SyslogFacility local5
LogLevel INFO
luego configurar su syslog.conf así:
local5.info |/var/run/mysshwatcher.pipe
Añadir la secuencia de comandos que va a escribir en/etc/inittab para que siga funcionando:
sw0:2345:respawn:/usr/local/bin/mysshwatcher.sh
luego escriba su secuencia de comandos:
#!/bin/sh
P=/var/run/mysshwatcher.pipe
test -p $P || mkfifo $P
while read x <$P; do
# ... whatever, e.g.:
echo "ssh info: $x" | wall
done;
Fina lly, reinicie su syslogd y vuelva a cargar su inittab (init q) y debería funcionar. Si se utilizan otras variantes de estos servicios, debe configurar las cosas en consecuencia (por ejemplo, newsyslogd => /etc/newsyslog.conf; Ubuntu: /etc/event.d isntead of inittab)
Esto es muy rudimentario y deficiente, pero debería ser suficiente para comenzar ...
más información: man sshd_config para obtener más opciones de registro/verbosidad.
O usted podría utilizar "-F cola". –
Excelente punto: no sabía acerca de esa opción – kdgregory
Conozco a los administradores de Unix que hacen casi lo mismo, para detectar inicios de sesión como root en su boxen. Si alguien inicia sesión como root, se envía un correo electrónico a su busca. Muy útil, pero a veces divertido, ya que cada vez que entraban en un mantenimiento serio y abrían un shell raíz, obtenían una página ... –