Вы можете использовать strace
, чтобы показать все ] open
syscalls, который распечатает все файлы, к которым был осуществлен доступ.
Чтобы отследить сеанс локального входа в систему , запустите это в корневой оболочке:
strace -f -e open login 2>&1
Чтобы отследить сеанс входа в систему ssh :
strace -f -e open -p <sshd_pid> 2>&1
Например, сначала определите PID демон ssh:
router:~# ps -ef | grep ssh
root 4816 1 0 May04 ? 00:00:00 /usr/sbin/sshd -D
root 6584 5941 0 01:18 ? 00:00:00 sshd: root@pts/0
root 6647 6381 0 01:23 pts/0 00:00:00 grep --color=auto ssh
Затем выполните трассировку, используя параметр -p
, за которым следует PID sshd:
strace -f -e open -p 4816 2>&1
Теперь войдите в систему с помощью ssh с другого терминала.