pam_unix(su:session)：為使用者打開的會話

Jun 26 15:58:52 hostme su: pam_unix(su:session): session opened for user {USER} by root(uid=0)
Jun 26 15:59:02 hostme su: pam_unix(su:session): session opened for user {USER} by root(uid=0)
Jun 26 15:59:37 hostme su: pam_unix(su:session): session opened for user {USER} by root(uid=0)

這有什麼好擔心的嗎？這是否意味著有人有殼？

這告訴你的是，以 root 身份登錄的某個人已經起訴了使用者 {USER}。這是否是一個問題，只有你才能真正知道。

在我的機器上進行了大量的偵探工作和實驗後，我得出的結論是，在某些機器上，這些消息可能表明您關閉了蓋子（在筆記型電腦的情況下）或讓機器進入睡眠狀態。如上所述，每台機器和安裝都不同，因此只有您才能真正確定這是否正常。儘管如此，我希望我的回答可以幫助您在嘗試查找這些消息的來源時減少您的偵查時間。

引用自：https://serverfault.com/questions/402499