Mi pregunta: ¿Existe alguna manera de registrar todos los comandos que ejecutan un programa suid? Como lo que hace .bash_history, pero solo los programas setuid.
Respuesta1
Si tiene comandos particulares en mente, puede configurarlos auditdpara registrar todos execvelos usos con ese binario:
auditctl -a exit,always -S execve -F path=/usr/bin/passwd
Luego puedes usar ausearch para buscar esas invocaciones:
ausearch -x /usr/bin/passwd