Você pode verificar a saída de
strace /usr/sbin/nologin 2>&1 | grep open
Esses arquivos são acessados por nologin
. Eu não tenho Ubuntu, mas no Debain há a seguinte saída:
open("/etc/ld.so.cache", O_RDONLY) = 3
open("/lib/libc.so.6", O_RDONLY) = 3
open("/var/run/utmp", O_RDONLY|O_CLOEXEC) = 3
open("/etc/localtime", O_RDONLY) = 3
Comparado com um sistema, onde /etc/nologin.txt
é exibido (openSuSE 11), a linha importante está faltando
open("/etc/nologin.txt", O_RDONLY) = -1 ENOENT (No such file or directory)
Além disso,
strings /usr/sbin/nologin
Mostra que a mensagem parece estar incorporada no binário. Também é visível com:
cat /usr/bin/nologin | xxd
Parece que a mudança da mensagem padrão não é fornecida.
man 5 nologin
states
If the file /etc/nologin exists, login(1) will allow access only to root. Other users will be shown the contents of this file and their logins will be refused.
Mas isso provavelmente não é o que você quer ...