A coisa é, se você der privilégios de sudo, eles podem se tornar root com:
- sudo -i
- sudo su
- sudo sh
- sudo bash
- sudo {qualquer shell que eles queiram}
- sudo vi (sério)
- python sudo
O bom é que você pode limitar os privilégios de sudo de uma forma semi-granular. Aqui está a página de manual do sudoers para elaborar um pouco mais sobre isso. man sudoers pode fornecer as mesmas informações.
O bloqueio do acesso a su é um pouco mais trivial. Aqui está uma postagem em U & L que mostra como fazer isso. Basicamente, você cria um grupo chamado "becomeroot" e diz ao PAM para verificar se um usuário está nesse grupo antes de permitir o su. Não adicione o administrador a este grupo e você é de ouro. No entanto, eles terão as permissões para mudar isso, porque eles têm sudo!
Você precisa confiar no seu administrador ou remover o sudo deles. Se a criação de log é a principal preocupação, exporte os arquivos .bash_history e registre-os externamente. Aqui está outro post de U & L (cara, esses caras são espertos ) que descreve o uso de auditd e um servidor syslog. Depois que os registros saírem da caixa, seu administrador não terá condições de interrompê-lo, porque eles já foram delatados!