在 /var/log/auh.log 中,root 用户成功执行 su

在 /var/log/auh.log 中,root 用户成功执行 su

我的 /var/log/auth.log 中有以下条目:

Apr  3 12:32:23 machine_name su[1521]: Successful su for user1 by root
Apr  3 12:32:23 machine_name su[1654]: Successful su for user2 by root
Apr  3 12:32:24 machine_name su[1772]: Successful su for user3 by root

情况:

  • 所有用户都是/etc/passwd中的真实账户;
  • 没有任何用户拥有自己的 crontab;
  • 所有这些用户不久前都通过 SSH 或 No Machine 登录了机器 - 时间从几分钟到几小时不等;
  • 没有计划在此时运行 cron 作业,因此 anacron 被删除;
  • 我可以看到其他日期和其他时间的类似条目。共同点是当它出现时用户已登录。它不是在登录时出现,而是在登录后的某个时间出现。

这台机器与其他一些机器的设置类似,但我只在它上面看到这些条目。

是什么原因造成的?谢谢

编辑:我设法缩小了范围。我相信这是由 引起的cron @reboot。有趣的是 - 它只对在重启前登录的用户运行“某些东西”。我检查了/var/spool/croncrontab -u <username> -lgrep -r @reboot /etc /var什么也没看到。

我怎样才能cron @reboot手动运行?

答案1

如果你找不到发射源suauditd将为你追踪。请参见此处:https://superuser.com/a/222924

答案2

它说这里登录程序由 root 运行。当用户打开会话时,该会话由 root 打开,然后 root su-es 成为该用户,这与您拥有的日志条目一致(root 通过 su 成为用户)

相关内容