Talvez seja necessário mais esforço do que usar algumas ferramentas externas, mas last
ou utmpdump
fornecem todas as informações de login remoto necessárias usando esses arquivos (leia link para mais informações sobre esses arquivos):
/var/log/wtmp
/var/log/btmp
/var/run/utmp
e como foi dito acima, você pode manipular a gravação do histórico de comandos do usuário-shell por conta própria.