Ограничить количество одновременных пользователей, переключающихся на учетную запись root?

Это для Ubuntu 14.04 и Centos 7.

Мне нужно ограничить количество пользователей, активно работающих как root. То есть вошли в систему как root в CLI.

По сути, я хочу, чтобы только один пользователь одновременно мог запускать команды с правами root. Цель здесь - одитинг.

Я изучал установку ограничений в /etc/security/limits.conf, но модуль pam_limits.so, похоже, влияет только на вход в систему. Или оболочки входа. Точно сказать не могу. Но какими бы ни были особенности, делает запретить пользователю подключаться к ящику по SSH более одного раза, но не запретить более чем одному пользователю стать пользователем root через "sudo su". Таким образом, установка limits.conf может позволить более чем одному пользователю одновременно входить в систему как root.

Вот строка limits.conf, которую я пробовал, которая ограничивает это:

root            hard    maxlogins            1

Затем я попытался ограничить количество пользователей в группе @admins. Я решил, что только этим пользователям разрешено использовать sudo su для получения root-прав (на основе имеющихся у нас пользовательских правил sudo).

@admins            hard    maxlogins            1

Кажется, это делает то, что я хочу, но кажется неуклюжим / неправильным. Назовите это интуицией - я не совсем понимаю, что считаю неправильным в этом.

Наконец, «Почему?». Почему у меня есть это требование?

Мы пытаемся реализовать элементы управления, чтобы соответствовать требованию 8.5 PCI-DSS 3.1 «Не использовать групповые, общие или общие идентификаторы, пароли или другие методы аутентификации» - акцент на «общий». В среде Windows вы просто разрешаете пользователям делать все, что угодно, и никто не разделяет основную учетную запись администратора. Среды Linux спроектированы таким образом, что для некоторых вещей вы действительно хотите войти в систему как root. В среде Linux должен быть совместимый с PCI способ решения этой проблемы.