можно просто написать скрипт который читает файл login.log (c учетом того что в /etc/syslog.conf есть строчка: auth.* /var/log/login.log) и при появлении нового коннекта высылает мыло

не вариант

лог растет непрерывно и если в начале его парсинг займет милисекунды, то через какое-то время будет основательно подтормаживать. Нужна мгновенная реакция. Типа, поймать выходные данные и отправив их по почте, перенаправить в сислог.

Я думаю, что имелся в ввиду скрипт-демон, кторый следит за динамикой изменения сислога и парсит только новые строчки

ух ты, блин. а не проще будет тому же ССХ запускать "приблуду", а уже она сама будет вписывать нужное в сислог? И памяти поменьше жрать будет и в процессах глаза мозолить не будет :)

Не понял последнего поста. Проблема не в том, чтоб в сислог писать, а в том, чтобы мыло отправлять.

А если $HOME/.bashrc поковырять? Или $HOME/.bash_profile?

Не понял идеи с $HOME/.bashrc Ведь ушлый юзер уберет оттуда все, что ему не надо.....

Да и bash может запускаться с --noprofile

А по поводу проверки логов ( не только ssh'-ных ) - есть такая хрень logcheck

> Ведь ушлый юзер уберет оттуда все, что ему не надо.....
А ты ему ничего не говори. Ты сам-то часто смотришь в свой .bashrc?
:)

Ну, или тогда в /etc/bashrc. Правда, если узер действительно ушлый,
он уберет из .bashrc запуск /etc/bashrc. Но как временный вариант
может сработать. Потом, можно подменить юзеру шел на свой скрипт,
который после отработки всякой фигни запустит ему нормальный баш.
Короче, копай в сторону запуска юзерского шела.