我的 /var/log/auth.log 中有以下条目:
Apr 3 12:32:23 machine_name su[1521]: Successful su for user1 by root
Apr 3 12:32:23 machine_name su[1654]: Successful su for user2 by root
Apr 3 12:32:24 machine_name su[1772]: Successful su for user3 by root
情况:
- 所有用户都是/etc/passwd中的真实账户;
- 没有任何用户拥有自己的 crontab;
- 所有这些用户不久前都通过 SSH 或 No Machine 登录了机器 - 时间从几分钟到几小时不等;
- 没有计划在此时运行 cron 作业,因此 anacron 被删除;
- 我可以看到其他日期和其他时间的类似条目。共同点是当它出现时用户已登录。它不是在登录时出现,而是在登录后的某个时间出现。
这台机器与其他一些机器的设置类似,但我只在它上面看到这些条目。
是什么原因造成的?谢谢
编辑:我设法缩小了范围。我相信这是由 引起的cron @reboot。有趣的是 - 它只对在重启前登录的用户运行“某些东西”。我检查了/var/spool/cron、crontab -u <username> -l,grep -r @reboot /etc /var什么也没看到。
我怎样才能cron @reboot手动运行?
答案1
如果你找不到发射源su,auditd将为你追踪。请参见此处:https://superuser.com/a/222924
答案2
它说这里登录程序由 root 运行。当用户打开会话时,该会话由 root 打开,然后 root su-es 成为该用户,这与您拥有的日志条目一致(root 通过 su 成为用户)