山口です。

>> > コマンドの実行記録だけならacctとかでいいんでしょう
>> > けど、何を見たんだ? ってところまで残す必要が出たんで。
>>
>> そういうことならば,ttyrec を root の login shell にするとか.
>>
>> ttyrec
>> http://namazu.org/~satoru/ttyrec/
>>
>> まあこれも記録のファイルを消されたらどうする,という問題は残ります.
>> 消せないネットワークの先に送ってしまえばいいんだろうけど…….

紹介ありがとうございます。いざ自分の入力を客観的に見ると、
めっちゃタイピング速度が遅く感じますね。「ほら、何を考えてるんだ。
早く入力しろよ」って。

でもって、ttyrecでググったページからKevin Mitnickの行動記録再生
ページにまで飛んでいってしまいました。
http://www.takedown.com/evidence/transcripts/
(TeraTermでは上手く表示されました。Puttyでは何故か化ける)

これ、tcpdumpの結果から再生しているんですね。最終手段としては
アリかもしれません。今回の場合read writeだけ残せばいいのかな。

という訳でまとめておきます。

 方法1. scriptでローカルに入出力を記録する
 方法2. ttyrecでローカルに入出力を記録する
 方法3. tcpdumpでtelnet portの入出力を記録する

結局sudo + scriptでファイルを消されないようにする方法はまだ実現
できていません...。(消されないようにする方法がまだ上手くいって
ないのです)
--
 Tadasuke YAMAGUCHI @ Hyogo