Linux

/var/log/auth.log 中的 root 使用者成功 su

  • April 6, 2020

我的 /var/log/auth.log 中有此類條目:

Apr  3 12:32:23 machine_name su[1521]: Successful su for user1 by root
Apr  3 12:32:23 machine_name su[1654]: Successful su for user2 by root
Apr  3 12:32:24 machine_name su[1772]: Successful su for user3 by root

情況:

  • 所有使用者都是 /etc/passwd 中的真實賬戶;
  • 沒有一個使用者有自己的 crontab;
  • 所有這些使用者都是在一段時間前通過 SSH 或 No Machine 登錄到機器上的——時間從幾分鐘到幾小時不等;
  • 那時沒有計劃執行 cron 作業,刪除了 anacron;
  • 我可以在其他日子和其他時間看到類似的條目。共同的部分是使用者在出現時已登錄。它不會在登錄期間出現,但會在一段時間後出現。

這台機器與其他幾台機器有類似的設置,但它是我看到這些條目的唯一一台。

是什麼原因造成的?謝謝

編輯:我設法縮小範圍。我相信這是由cron @reboot. 有趣的部分是 - 它只為重新啟動前登錄的使用者執行“某些東西”。我檢查了/var/spool/cron, crontab -u <username> -lgrep -r @reboot /etc /var什麼都看不到。

我怎麼能cron @reboot手動執行?

如果您找不到su啟動的來源,auditd將為您跟踪它們。見這裡:https ://superuser.com/a/222924

這裡說登錄程序是由 root 執行的。當使用者打開會話時,它由 root 打開,然後 root su-es 到該使用者,這與您擁有的日誌條目一致(root 通過 su 成為使用者)

引用自:https://serverfault.com/questions/376719