denaro, только мне кажется или вы изобрели велосипед с нулевой степенью защиты.
Т.е. если ваш пользователь залогинился - он видит свой .prfile и знает куда была сделана запись о его входе. При этом у него есть права изменить этот файл... а значит он может смело открыть этот файл и стереть/модифицировать данные о своем логине.
Я вам уже подсказывал "куда копать" - посмотрите логи sshd и auth.log - там должно быть достаточно информации для большинства подобных вашей задач.