Usamos o sudo configurado para permitir comandos do grupo. Para evitar o sudo -i ou sudo bash, eu configurei um apelido incluindo todos os shells conhecidos que eu desaprovo usando! na definição do que o grupo pode fazer. Dessa forma, todos os comandos executados com o sudo são registrados no syslog. O único shell que instalei e permiti é o rootsh , que registra tudo que foi feito a partir dele.
Cmnd_Alias SHELLS= /bin/sh, /bin/ksh, /bin/bash, /bin/zsh, /bin/csh, /bin/tcsh, /bin/login, /bin/su
%admin ALL = (ALL) ALL, !SHELLS
Obviamente, nada pode impedir um administrador de
cp /bin/bash /tmp/shell
sudo /tmp/shell
para contornar essa segurança, mas você ainda tem direitos de root, você precisa confiar neles de qualquer maneira ...