Linux
/var/log/auth.log 中的 root 使用者成功 su
我的 /var/log/auth.log 中有此類條目:
Apr 3 12:32:23 machine_name su[1521]: Successful su for user1 by root Apr 3 12:32:23 machine_name su[1654]: Successful su for user2 by root Apr 3 12:32:24 machine_name su[1772]: Successful su for user3 by root
情況:
- 所有使用者都是 /etc/passwd 中的真實賬戶;
- 沒有一個使用者有自己的 crontab;
- 所有這些使用者都是在一段時間前通過 SSH 或 No Machine 登錄到機器上的——時間從幾分鐘到幾小時不等;
- 那時沒有計劃執行 cron 作業,刪除了 anacron;
- 我可以在其他日子和其他時間看到類似的條目。共同的部分是使用者在出現時已登錄。它不會在登錄期間出現,但會在一段時間後出現。
這台機器與其他幾台機器有類似的設置,但它是我看到這些條目的唯一一台。
是什麼原因造成的?謝謝
編輯:我設法縮小範圍。我相信這是由
cron @reboot
. 有趣的部分是 - 它只為重新啟動前登錄的使用者執行“某些東西”。我檢查了/var/spool/cron
,crontab -u <username> -l
,grep -r @reboot /etc /var
什麼都看不到。我怎麼能
cron @reboot
手動執行?
如果您找不到
su
啟動的來源,auditd
將為您跟踪它們。見這裡:https ://superuser.com/a/222924
這裡說登錄程序是由 root 執行的。當使用者打開會話時,它由 root 打開,然後 root su-es 到該使用者,這與您擁有的日誌條目一致(root 通過 su 成為使用者)