как записать команду, выполняющую программу suid

Мой вопрос: есть ли способ записать все команды, которые выполняют suid-программу? Как то, что делают .bash_history, но только программы setuid.

Если у вас есть определенные команды, вы можете настроить auditd для записи всех применений execve с этим двоичным auditd :

 auditctl -a exit,always -S execve -F path=/usr/bin/passwd 

Затем вы можете использовать ausearch для поиска этих вызовов:

 ausearch -x /usr/bin/passwd