Se você não encontrar a origem dos su
, auditd
os acompanhará. Veja aqui: link
Eu tenho este tipo de entradas no meu /var/log/auth.log:
Apr 3 12:32:23 machine_name su[1521]: Successful su for user1 by root
Apr 3 12:32:23 machine_name su[1654]: Successful su for user2 by root
Apr 3 12:32:24 machine_name su[1772]: Successful su for user3 by root
Situação:
Esta máquina tem configuração semelhante com alguns outros, mas é a única em que vejo essas entradas.
O que os causa? Obrigado
Edit: eu consegui reduzi-lo. Eu acredito que isso é causado por cron @reboot
. A parte engraçada é - ele roda "algo" apenas para os usuários logados logo antes da reinicialização. Verifiquei /var/spool/cron
, crontab -u <username> -l
, grep -r @reboot /etc /var
e não consigo ver nada.
Como eu posso executar cron @reboot
manualmente?
Se você não encontrar a origem dos su
, auditd
os acompanhará. Veja aqui: link