Este script se queda funcionando, y en caso de que alguien haga un login en nuestra máquina (sea por tty o ssh), nos avisa enviando un mail a la dirección que le indiquemos.
Esta probado en un ubuntu karmic, quizás con otras distros hay que variar algo las expresiones regulares.
#!/bin/bash
tmplog=$(mktemp)
while true; do
cp -f $tmplog ${tmplog}.old
tail -n 500 /var/log/auth.log | egrep -v "CRON|sudo" | grep ssh | grep Accepted > $tmplog
tail -n 500 /var/log/auth.log | grep "login\[" | grep opened >> $tmplog
if ! diff -q $tmplog ${tmplog}.old; then
#uuencode $tmplog log.txt \
cat $tmplog \
| mail -s "Users logged in $(hostname) - $date" YourMail@Direction.com
fi
sleep 20
done