BR-Linux.org

“Rootsh é um shell (pseudo shell) que registra tudo o que um usuário do linux, inclusive o root, vê, digita e faz em seu terminal. Um wrapper para o interpretador de comando, onde faz uma camada repassando comandos e saídas para ambos os lados (tela e bash) e guardando tudo em logs. Em outras palavras, o rootsh possui quase a funcionalidade (ou conceito) de um keylogger, porém feito com o objetivo de ter uma auditória, monitoramento e registro seguro do que cada usuário está realizando no terminal (pode-se configurar para todos os usuários, somente alguns ou somente o root).” [referência: esli-nux.com]