Como Aaron diz, você precisa de auditd . Sua pergunta não é uma duplicata desta outra que encontrei, mas a resposta aceita é perfeita para você:
Registre todos os comandos executados por administradores em servidores de produção
E acabei de encontrar isto:
Ele demonstra que é necessário usar o PAM para segmentar o SSH da maneira que você deseja, adicionando algo ao longo das linhas dessa configuração.
/etc/pam.d/sshd
session required pam_tty_audit.so enable=*