Su bem sucedido para o usuário pela raiz em /var/log/auth.log

Eu tenho este tipo de entradas no meu /var/log/auth.log:

Apr  3 12:32:23 machine_name su[1521]: Successful su for user1 by root
Apr  3 12:32:23 machine_name su[1654]: Successful su for user2 by root
Apr  3 12:32:24 machine_name su[1772]: Successful su for user3 by root

Situação:

• Todos os usuários são contas reais em / etc / passwd;
• Nenhum dos usuários tem seu próprio crontab;
• Todos esses usuários estão logados na máquina há algum tempo, via SSH ou No Machine - o tempo varia de alguns minutos a algumas horas;
• nenhuma tarefa do cron está programada para ser executada nesse momento, o anacron foi removido;
• Eu posso ver entradas semelhantes para outros dias e outras vezes. A parte comum é que os usuários estão logados quando aparecem. Não aparece durante o login, mas algum tempo depois.

Esta máquina tem configuração semelhante com alguns outros, mas é a única em que vejo essas entradas.

O que os causa? Obrigado

Edit: eu consegui reduzi-lo. Eu acredito que isso é causado por cron @reboot . A parte engraçada é - ele roda "algo" apenas para os usuários logados logo antes da reinicialização. Verifiquei /var/spool/cron , crontab -u <username> -l , grep -r @reboot /etc /var e não consigo ver nada.

Como eu posso executar cron @reboot manualmente?