Das aus dem User-Context heraus zu machen, ist der falsche Ansatz; ich würde einfach /var/log/auth.log überwachen (lassen).
Soweit war ich ja schon mal. Aber inotify ist mir einfach zu heftig dafür.
Wer spricht denn von inotify, gibt keinen Grund sowas selber zu machen: rsyslogd kann auch Mails schreiben, es existieren diverse Tools zum Monitoring von Logs, etc.
Wenn Root infected/affected ist, ist es vermutlich sowieso 2 Sekunden später zu spät :-O
Was ist das eigentlich Ziel der ganzen Aktion?