rootになったらログ改ざんできんじゃね? とかはあるとしても管理アカウントの共有は誰がログインしたのか一切ログに残りません(せいぜい使えるかもしれないのは接続元IPアドレスとか位?)

れで、管理ユーザーのauthorized_keysに載ってる鍵を所有してる人間かコンソールにアクセスできる人間しかrootになれなくなるはず。普段の管理業務はぜんぶssh経由sudoで、

ちなみに

#auth       required     /lib/security/$ISA/pam_wheel.so use_uid

をコメントアウトすると「suが使えなくなる」ではなくグループ「wheel」に所属する人以外はsuでユーザーの切り替えができない．
だと思います．