Isso resolve meu problema: Registre todos os comandos executados pelos administradores nos servidores de produção
Resumo
1) Instale o auditd
2) audite o execve
syscall com estas regras em audit.rules
-a exit,always -F arch=b64 -F euid=0 -S execve
-a exit,always -F arch=b32 -F euid=0 -S execve
3) Adicione audit=1
ao grub.conf
Exemplos para Centos e Ubuntu:
#Centos
grep audit=1 /etc/default/grub || \
( sed -i.bak -e '/^GRUB_CMDLINE_LINUX=/ s/" *$/ audit=1"/' /etc/default/grub && \
/usr/sbin/grub2-mkconfig -o /boot/grub2/grub.cfg )
#ubuntu
grep audit=1 /etc/default/grub || \
( sed -i.bak -e '/^GRUB_CMDLINE_LINUX=/ s/" *$/ audit=1"/' /etc/default/grub && \
/usr/sbin/update-grub )
4) Coloque esta linha nestes arquivos /etc/pam.d/{login,kdm,sshd}
session required pam_loginuid.so
(incluí este resumo, pois a vinculação a soluções é contra a maneira de falha do servidor)