Está com problemas para auditar os problemas que ocorrem no seu Linux, porque os usuários estão logando como root ?
Então esta dica vai lhe ajudar no processo.
No Linux, existe um arquivo chamado securetty, que está localizado no diretório /etc. O pam, no processo de login, lê este arquivo e observa se a tty pode ser acessada pelo root ou não.
Portanto para evitar o login de root ( nas distros baseadas no PAM ), comente as linhas referentes às ttys no seu arquivo /etc/securetty :
#
# This file contains the device names of tty lines (one per line,
# without leading /dev/) on which root is allowed to login.
#
#tty1
#tty2
#tty3
#tty4
#tty5
#tty6
# for devfs:
vc/1
vc/2
vc/3
vc/4
vc/5
vc/6
E pronto, agora ninguém pode logar como root no seu sistema. Ele vai se forçado a entrar e depois, usar o comando su.