As mensagens por usuário podem ser uma instrução de eco em $ HOME / .bashrc ou similar. Mesmo que o usuário altere esse arquivo, ele precisa fazer o login primeiro para fazer isso e, mesmo assim, já teria visto a mensagem. Uma maneira melhor pode ser algo em /etc/motd . É para isso que esse arquivo é usado.
Dê uma olhada no de Patrick a"qui a"> para executar algo no logout. Você pode simplesmente reinicializar a VM e fazer com que o hipervisor inicialize automaticamente a partir de um instantâneo / imagem congelada / o que for. Pessoalmente, eu não usaria .bash_logout para isso, pois é necessário um pouco de manipulação para garantir que o usuário não possa modificar / excluir / renomear / link simbólico do arquivo. PAM seria mais infalível.
Se você não quiser reinicializar a VM, talvez uma partição r / o com uma cópia dos arquivos de sistema originais possa ser rsync'd ( # rsync -av /mnt/ro/home/ /home/ --delete ) para $ HOME / após o logout.