Minha pergunta: existe uma maneira de registrar todos os comandos que executam um programa suid? Como o que .bash_history faz, mas apenas os programas setuid.
Responder1
Se você tiver comandos específicos em mente, poderá configurar auditdpara registrar todos execveos usos desse binário:
auditctl -a exit,always -S execve -F path=/usr/bin/passwd
Então você pode usar o ausearch para procurar essas invocações:
ausearch -x /usr/bin/passwd