На Ubuntu Artful 17, как привилегированный пользователь, как я могу получить электронное письмо (возможно, ночью) с информацией о - какие запросы GET были отправлены на порт

О Вашем вопросе:

1. Можно проверить все полученные запросы для портирования 80 в журналах веб-сервера.

   • В Apache его журналы могут быть найдены в следующих адресах в зависимости от дистрибутива Linux GNU и версии.
     • /var/log/apache/access.log
     • /var/log/apache2/access.log
     • /var/log/httpd/access.log

2. О проверке Ваших журналов SSH обратитесь к следующим ссылкам:

   • Как я отслеживаю неудавшиеся попытки входа в систему SSH?
   • Где Ubuntu 14.04 регистрирует попытки доступа SSH? [дубликат]

3. Можно проверить ВСЕ команды, выполняемые другим пользователем путем открытия .bash_history файл, расположенный в /home/<username>/.bash_history, также имейте в виду, что пользователь может удалить этот файл журнала.

Выполнение tail /var/log/auth.log | grep <username> должен дать Вам sudo историю пользователя.

Если пользователь породил оболочку с sudo -s, sudo su, sudo sh, и т.д. затем выполняемые команды могут появиться в файле истории пользователя root, расположенного в /root/.bash_history.

Если Вы хотите инструмент, созданный с этой целью, можно проверить на sysdig. Это упаковывается в ловких и других релизах Ubuntu.

Sydig является открытым исходным кодом, межплатформенным, мощным и гибким системным мониторингом, анализом и инструментом поиска и устранения неисправностей для Linux. Это может использоваться для системного исследования и отладки.

Можно выполниться sysdig -c spy_users для отображения каждой команды, которую пользователи запускают в интерактивном режиме, а также каждый каталог пользователи посещает.

Также можно использовать spy_port показать данные обменивалось использованием данного номера порта IP.

Надеюсь, это поможет.