Én úgy gondolom, hogy ha az a bizonyos Linux desktop 'fontos' akkor ennél sokkal komolyabb monitoring kell rá.
pl remote syslog/journal. - és ott aztán lehet az aktuális security policy-nek megfelelően triggerelni az 'érdekes' dolgokra.
ha 'még fontosabb' akkor meg auditd megfelelő szabálykészlettel, szintén remote-ba (is) küldve/gyűjtve/analizálva. ;)
Azonban ha ez egy privát/játszós desktop, akkor csak a felhasználón múlik hogy mire érdemes figyelni, és hogy arra megfelelő/elegendő-e az a bizonyos root mailbox.
pl Anyukám gépén hiába küld levelet az Ubuntu, ő biztosan nem megy ezzel sokra -> ergo teljesen felesleges ezen módszer megléte.