Disparadores Linux: PAM
El disparador de bajo nivel: Módulos PAM (pam_exec)
Si buscas algo más profesional y seguro que se ejecute antes de que el usuario tenga siquiera acceso a la terminal (útil para auditorías de seguridad, alertas de login sospechosos, etc.), la respuesta es PAM (Pluggable Authentication Modules).
PAM tiene un módulo llamado pam_exec que permite disparar un comando en cualquier etapa de la autenticación.
Para ello deberemos realizar los siguientes pasos:
Abrir el fichero de configuración de sesiones de PAM:
/etc/pam.d/common-session
Al final del archivo, podemos incluir una línea como la siguiente:
...
session optional pam_exec.so /usr/local/bin/alerta_login.shEl script /usr/local/bin/alerta_login.sh recibirá variables de entorno automáticamente como $PAM_USER (quién entra) y $PAM_RHOST (desde qué IP si es por SSH), permitiendonos crear por ejemplo alertas ultra precisas.