Meu aplicativo node.js de produção é executado no servidor Ubuntu. Eu encontrei um ótimo post há algum tempo que incluía uma dica sobre como enviar um e-mail sempre que um usuário executa um comando sudo no servidor. É uma forma muito prática de receber notificações de algo que pode ser malicioso.
Crie um arquivo /etc/sudoers.d/my_sudoers que contém:
Defaults mail_always
Defaults mailto="youremail@gmail.com"
Em seguida, execute um chmod no novo arquivo para 0440 e, finalmente, configure um agente de transporte de correio como o Sendmail via:
sudo apt-get install sendmail
E agora você recebe um e-mail toda vez que sudo é executado naquela máquina com uma linha de assunto como:
*** Informações de SEGURANÇA para lixxx-xx.members.linode.com ***
E o corpo contém informações sobre o usuário que executou o sudo, o comando que executou e o pwd. Muito reconfortante.
Graças a @feross que escreveu o post original! É uma ótima leitura para muitas outras dicas também.