/var/log/auth.log 中的 root 使用者成功 su

我的 /var/log/auth.log 中有此類條目：

Apr  3 12:32:23 machine_name su[1521]: Successful su for user1 by root
Apr  3 12:32:23 machine_name su[1654]: Successful su for user2 by root
Apr  3 12:32:24 machine_name su[1772]: Successful su for user3 by root

情況：

• 所有使用者都是 /etc/passwd 中的真實賬戶；
• 沒有一個使用者有自己的 crontab；
• 所有這些使用者都是在一段時間前通過 SSH 或 No Machine 登錄到機器上的——時間從幾分鐘到幾小時不等；
• 那時沒有計劃執行 cron 作業，刪除了 anacron；
• 我可以在其他日子和其他時間看到類似的條目。共同的部分是使用者在出現時已登錄。它不會在登錄期間出現，但會在一段時間後出現。

這台機器與其他幾台機器有類似的設置，但它是我看到這些條目的唯一一台。

是什麼原因造成的？謝謝

編輯：我設法縮小範圍。我相信這是由cron @reboot. 有趣的部分是 - 它只為重新啟動前登錄的使用者執行“某些東西”。我檢查了/var/spool/cron, crontab -u <username> -l，grep -r @reboot /etc /var什麼都看不到。

我怎麼能cron @reboot手動執行？

如果您找不到su啟動的來源，auditd將為您跟踪它們。見這裡：https ://superuser.com/a/222924

這裡說登錄程序是由 root 執行的。當使用者打開會話時，它由 root 打開，然後 root su-es 到該使用者，這與您擁有的日誌條目一致（root 通過 su 成為使用者）

引用自：https://serverfault.com/questions/376719