Я вижу следующее в /var/log/auth.log (система - текущая Ubuntu).
myserver su[14993]: illegal option minimum_uid=1000
myserver su[14993]: Successful su for jeanbon by root
myserver su[14993]: + ??? root:jeanbon
myserver su[14993]: pam_unix(su:session): session opened for user jeanbon by (uid=0)
myserver systemd-logind[1931]: New session c253 of user jeanbon.
myserver systemd: pam_unix(systemd-user:session): session opened for user jeanbon by (uid=0)
myserver su[14993]: pam_unix(su:session): session closed for user jeanbon
myserver systemd-logind[1931]: Removed session c253.
Означает ли это, что пользователь jeanbon стал пользователем root с помощью команды su? Этот пользователь не может использовать sudo и сообщает мне, что не знает пароль root. Существует множество одинаковых журналов в быстрой последовательности для 4 разных пользователей в разное время.
Эти записи в журнале указывают, что пользователь root стал пользователем jeanbon, а не пользователем jeanbon.