Você pode usar strace
para mostrar todos os open
syscalls, que imprimirão todos os arquivos acessados.
Para rastrear uma sessão login local , execute isso em um shell raiz:
strace -f -e open login 2>&1
Para rastrear uma sessão ssh login :
strace -f -e open -p <sshd_pid> 2>&1
Por exemplo, primeiro determine o PID do daemon ssh:
router:~# ps -ef | grep ssh
root 4816 1 0 May04 ? 00:00:00 /usr/sbin/sshd -D
root 6584 5941 0 01:18 ? 00:00:00 sshd: root@pts/0
root 6647 6381 0 01:23 pts/0 00:00:00 grep --color=auto ssh
Em seguida, rastreie usando a opção -p
seguida de PID de sshd:
strace -f -e open -p 4816 2>&1
Agora faça o login usando o ssh de outro terminal.