Isso é apenas cron executando o cronjobs. Ele abre (e depois fecha) uma sessão do PAM para o usuário apropriado quando executa comandos. Com base nos timestamps, você tem um cronjob que é executado a cada minuto.
Acabei de verificar meus logs no meu servidor de ações, vi algum log estranho no auth.log :
Jun 17 22:27:01 mutualab CRON[16249]: pam_unix(cron:session): session opened for user user by (uid=0)
Jun 17 22:27:01 mutualab CRON[16249]: pam_unix(cron:session): session closed for user user
Jun 17 22:28:01 mutualab CRON[16253]: pam_unix(cron:session): session opened for user user by (uid=0)
Jun 17 22:28:01 mutualab CRON[16253]: pam_unix(cron:session): session closed for user alain
Jun 17 22:29:01 mutualab CRON[16257]: pam_unix(cron:session): session opened for user user by (uid=0)
Jun 17 22:29:01 mutualab CRON[16257]: pam_unix(cron:session): session closed for user user
Parece que alguém tentou fazer login - e teve sucesso? - mas delog instantaneamente? Eu tenho o mesmo log por horas agora ...
Você sabe o que acontece?