Обнаружение события ( например, авторизации ssh)

tail -f если скриптами, но в итоге изделие обрастёт костылями

а по-нормальному open(), lseek(SEEK_END), while(1) read() и парсишь там же

Ну можешь rsyslog настроить на отправку почты по событиям. И в Zabbix кажется есть тоже разные фичи для мониторинга такого.

При удачном логине ssh можно выполнять команды нужные например отправка уведомления на почту или нотификация, см. https://wiki.archlinux.org/title/OpenSSH#Run_command_at_login

Если логи контролировать то можно по факту записи в файл лога запускать команду нужную, в том числе и парсящую этот лог

inotifywait в помошь

Какой вообще общий подход?

Через хуки.

Кстати, хорошая тема. Хорошо бы отслеживать все такие события(от неудачных попыток ssh-логина, до появления ошибок в smart’е диска) и выдавать их через notify-send. Я именно про десктоп-использование linux

звучит, как хардкорное программирование на С++

rsyslog по описанию неплох, надо почитать. Главное, чтоб не из пушки по воробьям.

Возьми fail2ban и посмотри какие оно там action умеет.

да в логи кажду секунду кто то пишет, тяжело получится, кмк

Да не, не хардкорное и не С++. Обычное на Си. Впрочем, аналог можно хоть на пхп сделать, будет fopen(), fseek() и fread().

Уровень логирования настраивается,если пишет каждую секунду значит что то не то настроили

man sd_login_monitor_new:

sd_login_monitor_new() may be used to monitor login sessions, users, seats, and virtual machines/containers. Via a monitor object a file descriptor can be integrated into an application defined event loop which is woken up each time a user logs in, logs out or a seat is added or removed, or a session, user, seat or virtual machine/container changes state otherwise.

Пропатчи ssh и добавь там создание события в системной шине (dbus или как её там…), в твоём приложении подключись и слушай.

может свой линукс сделать заодно?

Пропатчи ssh и добавь там создание события в системной шине (dbus или как её там…), в твоём приложении подключись и слушай.

Всё уже пропатчено до нас. man org.freedesktop.login1

Есть системы мониторинга, как крупные так и мелкие, слежение за событиями это их основной функционал.

подключи спланк.

А вообще попробуй Wazuh - настроить геморрно, но штука мощная.

а вот на петухоне можно системные вызовы перехватывать?

в гугле пишут, что рач не поддерживается

Делаем так. /etc/rsyslog.d/monitor.conf

auth,authpriv.info |/path/to/your_monitor_script

И вон та ваша программа непрерывно читает лог, парсит, и вызывает нужные вам хуки.

1. Понятия не имею.

2. При чём тут системные вызовы? Ты, вроде, начал с того, что хотел отлавливать события (логин пользователя).

Как обнаружить событие

Занимаешь позицию в соседнем пивняке, заказываешь балтику 9 и сливаешься с толпой, следишь как демон. Собсно всё.

Просто я начитался какой то дичи про auditd, и вот там написано было, что логин/логаут/изменение чего нибудь/и так далее, ловится по системным вызовам в ядре и вообще это тру путь. Вот и решил уточнить у знающих людей.

а ты в теме)

P.S. «Забанься, дебил» - кун, не приходи в мой тред.

Сам всё понимаешь, одобряю. Следующий шаг - забаниться.

не стоит быть столь жестоким к автору, он только ~10 лет назад начал использовать линух

Херня какая-то. Есть login manager, which is «keeping track of users and sessions, their processes and their idle state». Этот логин менеждер имеет несколько интерфейсов, через которые можно следить за его состоянием. Использование этих интерфейсов — самый прямой путь. Караулить системные вызовы, или записи в логе — это путь, которым идут нормальные герои (которые всегда идут в обход; идти в обход, понятно, не очень-то легко, не очень-то приятно и очень далеко).

Но надо сказать, что логин менеджер занимается юзерами и сессиями, поэтому отслеживать логин и логаут при помощи интерфейсов логин менеждера — то, что доктор прописал. Если ты под «изменением чего нибудь» имеешь ввиду, например, изменение файлов, то логин межеджер здесь не в кассу, на это есть inotify. Если «чего-нибудь» — это появление нового дивайса, то см. udev. И так далее, и так прочая. Возможно, что на твой «чего нибудь» действительно нет готового интерфейса…

Один мой умный знакомец всегда задавал вопрос: «А почему вы интересуетесь?» Потому что очень часто людям нужно одно, но спрашивают они совсем другое, и чтобы помочь человеку, нужно знать что ему реально требуется. Я не настолько заинтересован в решении твоих проблем, чтобы интересоваться «а почему вы спрашиваете?». Но логин/логаут проще всего мониторить через логин менеджер. Если только ты не системд-хейтер.

Караулить системные вызовы, или записи в логе — это путь, которым идут нормальные герои

Логи - это единственное место, в котором можно считать fingerprint ssh ключа, серийный номер и id сертификата лица, который залогинился. В других местах этой информации нет.

fail2ban

journalctl *** --follow и читай хоть до второго пришествия христа.