O Linux vem com poderosas ferramentas para auditar as ações dos usuários .
SuSE tem uma excelente visão geral de como usá-los que deve funcionar para qualquer distribuição que contenha as ferramentas necessárias e os componentes do kernel. Para acompanhar quais programas os usuários estão executando, você deverá rastrear a chamada do sistema exec() . Você também pode controlar quais arquivos são editados e outras chamadas do sistema, como alterar permissões ou abrir soquetes.
Isso funciona em um nível muito baixo no sistema. Outra alternativa é registrar a sessão SSH inteira de cada usuário . Se ambas as opções forem muito pesadas para você, a sugestão do slhck será boa, mas isso é facilmente contornado. Nenhuma das minhas sugestões é infalível também.