Eu preciso logar o máximo possível quando os usuários fazem su * ...
Melhor seria registrar todos os comandos especialmente para o caso root faz algo como um usuário. Podemos supor que root não alteraria esse comportamento de criação de log.
Eu acho que o acordo de casamento seria algo como SULOG em debian . br>
Como posso fazer isso funcionar?
pam_tty_audit(8) foi escrito exatamente para este problema:
Examples
Audit all administrative actions.
session required pam_tty_audit.so disable=* enable=root
Você pode colocar isso em /etc/pam.d/sudo para auditoria somente sudo(8) ou em /etc/pam.d/common-session se você quiser auditar tudo o que root faz em qualquer console.