Su bem sucedido para o usuário pela raiz em /var/log/auth.log

3

Eu tenho este tipo de entradas no meu /var/log/auth.log:

Apr  3 12:32:23 machine_name su[1521]: Successful su for user1 by root
Apr  3 12:32:23 machine_name su[1654]: Successful su for user2 by root
Apr  3 12:32:24 machine_name su[1772]: Successful su for user3 by root

Situação:

  • Todos os usuários são contas reais em / etc / passwd;
  • Nenhum dos usuários tem seu próprio crontab;
  • Todos esses usuários estão logados na máquina há algum tempo, via SSH ou No Machine - o tempo varia de alguns minutos a algumas horas;
  • nenhuma tarefa do cron está programada para ser executada nesse momento, o anacron foi removido;
  • Eu posso ver entradas semelhantes para outros dias e outras vezes. A parte comum é que os usuários estão logados quando aparecem. Não aparece durante o login, mas algum tempo depois.

Esta máquina tem configuração semelhante com alguns outros, mas é a única em que vejo essas entradas.

O que os causa? Obrigado

Edit: eu consegui reduzi-lo. Eu acredito que isso é causado por cron @reboot . A parte engraçada é - ele roda "algo" apenas para os usuários logados logo antes da reinicialização. Verifiquei /var/spool/cron , crontab -u <username> -l , grep -r @reboot /etc /var e não consigo ver nada.

Como eu posso executar cron @reboot manualmente?

    
por grs 04.04.2012 / 18:05

1 resposta

1

Se você não encontrar a origem dos su , auditd os acompanhará. Veja aqui: link

    
por 09.04.2012 / 05:33