ha

, zpětně se podívej do /etc/pam.d, určitě si tam kluk něco změnil. Tenhle modul neznám, je možné, že je to jeho cíl.
- #id //OK root:root:root
myslel jsem "id developer", tj. jak je vidět uživatel dříve než se přihlásí. Právě jeho "přihlášení" přes su generuje událost v rámci pam modulů a ty mohou zasahovat do v podstatě všeho.
Strace obsahuje sycally do kernelu, pokud mezi aplikací a kernelem přenášíš důvěrná data, můžeš jeho zveřejněním ty data také zveřejnit, v tomhle případě by ale v obsahu nemělo být nic citlivého. Obsahuje právě informace o souborech, ke kterým dané volání přistoupilo, chtěl jsem z toho zjistit, jestli je v pam nějaká událost přetížená a jestli tam něco zasahuje.
Jak koukám fscrypt je nějaká go aplikace, přidává vlastní .so modul do pamu, zdrojáky jsou tady
https://github.com/google/fscrypt, ale na první pohled nevidím, proč přidává uživatele do skupiny root, s oprávnění a skupinami ale docela aktivně manipuluje