Como os comandos de log são executados pelo usuário

Tenho que dar acesso ROOT a um desenvolvedor para instalar um programa...

Não, você não.
Faça com que elesescrevaou, melhor ainda,roteiroas etapas de instalação e executá-las em seu nome.
Isso é chamado de Separação de Funções. Eles são um desenvolvedor. Você é um SysAdmin. Deixarelesfaça as coisas queeles estãobom em (escrever código, testar, etc.) evocêfaça as coisas quevocê ébom em (manter as máquinas seguras e funcionando com eficiência, etc.).

... Eu sei que ele removerá o histórico após sair da sessão.

Esta é uma "prática padrão" para a sua organização? Se não, por que sentem necessidade de fazê-lo?

Preciso verificar quais comandos ele executa para proteger o servidor contra atividades abusivas.

É claro que você nãoconfiareste desenvolvedor.
Se for esse o caso, então você não deve deixá-losem qualquer lugar pertoeste servidor.
Isso éseu empregona linha se você permitir que instalem algo questionável lá.

Encaminhe o problema para a Gerência, se necessário.

Você pode registrar todas as atividades dos usuários com opsacct pacote.

• O psacctpacote contém vários utilitários para monitorar atividades de processo, incluindo ac, e .lastcommacctonsa

• O accomando exibe estatísticas sobre há quanto tempo os usuários estão conectados.

• O lastcommcomando exibe informações sobre comandos executados anteriormente.

• O acctoncomando ativa ou desativa a contabilidade do processo.

• O sacomando resume informações sobre comandos executados anteriormente.

Instalação em RHEL/Fedora/CentOS

# yum install psacct

Instalação no Ubuntu/Debian

$ sudo apt-get install acct

OU

# apt-get install acct

No RHEL digite os seguintes comandos para criar/va/conta/pacctarquivo e inicie o serviço

# chkconfig psacct on

# /etc/init.d/psacct start

No Suse digite os seguintes comandos para criar/va/conta/pacctarquivo e inicie o serviço

# chkconfig acct on

# /etc/init.d/acct start

Exibir comandos executados porDO UTILIZADOR

$ lastcomm [USER]