Moin, grundsätzlich ist BSD Process Accounting eine gute Idee. Allgemein würde ich aus Sicherheitsgründen nicht wollen, dass User sich a) also root per SSH einloggen dürfen und als root auf dem Server hantieren. Dafür gibt es sudo, wenn schon User Befehle mit Systemrechten ausführen müssen. Die sudo-History wird in /var/log/messages geschrieben. Mit |grep sudo hast du die Liste aller abgeschickten Befehle, die du z.B. per cronjob einfach weiter archivieren könntest.