[shell 작동] 화일 변화를 감지 하고 있다가 반응할수는 없을까

얼마전부터 messages 화일에 이상한 접속을 하려는 곳이 생겻는데
Jan 23 14:13:25 ns1 sshd(pam_unix)[3544]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=211.185.55.126
이런것 들이죠 그래서 요거좀 막아보려고 쉘 프로그램 만들어 봤습니다.

내용은 messages화일의 맨 마지막 1줄 읽어서 authentication failure 문구가
발견되면 아이피만 골라서 etc/hosts.deny 화일에 "ALL : 아이피" 등록 했다가 5분정도 후에 해제 하려구요

일단 ./ipbloc.sh & 이리 했는데
[1] 9859 프롬프트에 이렇게 나오고 시간이 지나면
[1]+ Done ./ipbloc.sh 이 나오는데 그리고는끝이거든요

제 생각에는 화일 변경된것이 한번은 감지가 되고 Done 이리 나오면서 프로그램이 종료 되는것이 아닌가 생각됩니다.

messages 화일을 계속 감지하고 있다가 messages 화일이 tail.log 보다 최신거면 한줄읽어서 분석할수는 없는건지요
말도 안되는 황당한 질문인가요? 안된다면 이걸 돌리는 방법이 있을까요?

혼자 만들어 봣는데 오류가 있거나 혹시 더 좋은 방법아시는분 알려주시면 감사 합니다.

아래는 여기저기 보고 책보고 만들어 본 겁니다.

#!/bin/bash
#file : ipbloc.sh

dat=`date +%Y-%m-%d-%H-%M-%S`

if [ "/var/log/messages" -nt "tail.log" ] #message file 이 더 최신거면
then

r_tail=`tail -1 messages` # message file 맨 마지막줄

if [ "${r_tail/authentication failure/}" != "${r_tail}" ]
then

r_log=${r_tail#*rhost=} # 211.2.3.1 ruser=root
r_host=${r_log%* *} # 211.2.3.1
echo "$r_log $dat" >> tail.log # tail.log 기록하고 차단
#echo "ALL : $r_host " > /etc/hosts.deny # 아이피 차단

fi
fi

tail.log 기록하는건 같은 기록이 여러번이면 iptables 에서 차단할생각 입니
다
조언좀 부탁드립니다.