вы можете попробовать использовать:
lsof -p PID запущенного процесса
lsof -c ssh покажет все файлы, открытые процессами, начинающимися с буквы
Или попробуйте ltrace или, может быть, fuser
Я видел, как strace использовался с некоторыми сложными grep трубопроводами ... но все зависит от того, что именно является конечной целью.
Вы также можно использовать опции -e в strace для фильтрации, например:
sudo strace -t -e trace=open,close,read,getdents,write,connect,accept whoami >/dev/null
и grep оттуда ..