Esse é o único local em que você o encontrará, a menos que o sistema tenha a auditoria ativada. Nesse caso, dependendo de como a auditoria é configurada, você obterá uma lista detalhada dos comandos que foram executados.
O que é registrado quando usar a auditoria ( auditd
é o serviço que você precisa ter instalado) é uma pergunta bastante ampla, eu gostaria de verificar a documentação se você estiver interessado em explorar isso ainda mais.
Mas, novamente, isso não é normalmente ativado por padrão, então você precisa verificar com seus administradores do sistema para ver se está ativado. Se não for, então seu único curso de ação para obter um histórico do histórico do usuário root é do arquivo de histórico que o shell mantém, normalmente /root/.bash_history
se a conta estiver configurada para usar o Bash como o shell.