Parece que o pam_tty_audit no Linux ( link ) poderia ter sido uma ótima maneira de ajudar descobrir "o que aconteceu!" quando alguém fica enraizado.
Eu digo "poderia ter sido" porque os rootkits limpam os logs e matam o log remoto antes de fazer qualquer outra coisa.
Digamos que eu saiba que alguns dos meus containers OpenVZ estão enraizados e confio que a raiz do meu hardware OpenVZ não funcionou. Eu poderia ter auditado do nó de hardware do OpenVZ em todos os TTYs dos contêineres?
Em vez de capturar logs de auditoria com auditd, você pode configurar o syslog no OpenVZ VE para enviar todos os logs para um servidor remoto (que pode ser o próprio OpenVZ HN, por exemplo). Assim, todos os eventos de auditoria estariam a salvo de um comprometimento da VE.
Estou marcando esta resposta como wiki, caso alguém queira fornecer mais detalhes.