Eu implementei algo melhor que sudosh.
O Linux oferece uma maneira de fazer isso, usando o sistema de “Auditoria”. Com essa parte do kernel e suas ferramentas de espaço do usuário, você pode registrar as chamadas do sistema chamadas (e outras coisas também).
O mais importante a observar é a chamada do sistema “execve”. Tendo um registro de suas invocações, você saberá o que os usuários estão fazendo depois de "sudo some_shell".
Veja aqui para mais detalhes.
Auditando as ações dos usuários após o sudo
Esta solução com Syslog funciona perfeitamente para o que você quer.