Uma maneira de fazer isso é pelo PAM (Pluggable Authentication Modules).
Existe um plugin chamado pam_exec (com um man pam_exec você poderá ler os detalhes sobre ele) que serve pra executar comandos em uma ou mais fases do sistema de autenticação.
tudo que você tem que fazer é ir na pasta /etc/pam.d e inserir as seguintes linhas no final do common-session
session optional pam_exec.so seteuid type=open_session comando1
session optional pam_exec.so seteuid type=close_session comando2
Sendo que o comando1 vai executar sempre que uma sessão for iniciada e o comando2 sempre que ela for terminada.
A vantagem é que o controle é centralizado (não precisa ir em cada usuário configurar) e on the fly, ou seja, basta o usuário sair da sessão. Quando entrar de novo, já vai estar valendo.
PS : Bem que está faltando um diolinux sobre o pam, né não ?