Как я создаю предупреждение по электронной почте, когда кто-то пытается использовать “sudo su”?

Я предполагаю, что Вы используете rsyslog как регистрирующийся демон. Сохраните следующий отрывок конфигурации как /etc/rsyslog.d/60-sudo-mails.conf.

# Load Mail output module
module(load="ommail")

# Template for the "Subject:" line to dynamically set the affected hostname 
template(
    name   = "mailSubject" 
    type   = "string" 
    string = "SECURITY information for %hostname%"
)

# If messages go to facility "authpriv" and have severity "warning" (or worse)
# and the program's name is "sudo", then perform the given action:
if ( prifilt("authpriv.warning") and ($programname == "sudo") ) then {

    action(
        type             = "ommail" 
        server           = "your_mail_server_here, e.g. mail.abc.com"
        port             = "25"
        mailfrom         = "test@abc.com"
        mailto           = "root@abc.com"
        body.enable      = "on"
        subject.template = "mailSubject"
    )

}

Удостоверьтесь, что Вы настраиваете почтовый сервер, который позволяет посылать электронные письма без аутентификации. Обычно это будет mailserver в Вашей локальной сети, но не Gmail или чем-то как этот потому что rsyslogвыходной модуль ommail не может в настоящее время настраиваться для аутентификации (имя пользователя/пароль). Можно также хотеть добавить параметр

action.execOnlyOnceEveryInterval = "600"

к действию, таким образом, Вы получаете только одно электронное письмо каждые 10 минут (другие просто отбрасываются). Это зависит от того, как часто Вы ожидаете такое сообщение.

При выполнении, перезапуск rsyslog:

sudo systemctl restart rsyslog.service

Испытайте любым issueing запрещенный sudo команда или путем выполнения

logger -p authpriv.warning -t sudo "This should be sent as an email"

Вышеупомянутая конфигурация поместит logmessage, "как" в почтовое тело. Если Вы предпочитаете некоторое форматирование или другое появление затем, необходимо предоставить a template для тела электронной почты