Очередной пример того, что сертификация -- это просто процесс получения глупой бумажки, и никакого отношения к реальной безопасности не имеет :(
Проблема входа решается генерацией запароленых SSH-ключей для КАЖДОГО сотрудника. За утерю ключа и/или пароля от ключа -- анальная кара в виде трёх лет расстрела без права переписки. Учётные записи сотрудником можете создавать с автоматически сгенерированными паролями, для входа по ключу он не нужен.
Если у вас железо -- юзайте системы управления типа chef/puppet/ansible для централизованного управления процессами разливки/удаления/замены ключей. Либо кастомные скрипты, которые будут подключаться по SSH и управлять ключами командами в shell. Если у вас сервера -- можно юзать те же системы управления (puppet etc), но есть другие системы, типа OpenSSH в связке с LDAP.
Проблема логирования решается созданием одного syslog-сервера и указанием в настройках всех серверов, что логи нужно хранить не только локально, но и сливать на этот сервер. Модификацию файла syslog.conf на всех серверах -- в мониторинг, чтобы каждый раз при его изменении отправлялся алерт (чтобы не было соблазна выключить по-тихому отгрузку логов).