Se você tiver certos comandos em mente, poderá configurar auditd
para registrar todos os execve
usados com esse binário:
auditctl -a exit,always -S execve -F path=/usr/bin/passwd
Então você pode usar ausearch para procurar por essas invocações:
ausearch -x /usr/bin/passwd