Гм... Как вариант -- в /etc/shadow руту в поле пароля ставим символ '*' (пароля с таким хэшем не существует => рутом зайти уже нельзя), настраиваем sudo. Опосля чего: а) действия юзеров, требующие sudo, отражаются в соответствующем логе; б) никому уже не нужен пароль рута (sudo требует юзерский пароль); в) можно разрешить только нужным юзерам запуск только указанных программ.