Похоже на pam_tty_audit в Linux (http://www.slashzero.com/2009/11/shell-session-logging/) мог бы стать отличным способом выяснить, "что случилось!" когда укореняется.
Я говорю «могло быть», потому что руткиты очищают журналы и прерывают удаленное ведение журналов, прежде чем они сделают что-нибудь еще.
Скажем, я знаю, что некоторые из моих контейнеров OpenVZ рутированы, и я верю, что мой аппаратный корень OpenVZ этого не сделал. Мог ли я выполнить аудит с аппаратного узла OpenVZ на всех TTY контейнеров?
Вместо сбора журналов аудита с помощью auditd вы можете настроить syslog на OpenVZ VE для отправки всех журналов на удаленный сервер (который может быть, например, самим OpenVZ HN). Таким образом, все события аудита будут защищены от компрометации VE.
Я помечаю этот ответ как вики на случай, если кто-то захочет предоставить дополнительную информацию.