Я внезапно обнаружил несколько странных записей в своих файлах /var/log/auth.log. Они появляются каждые 10-20 секунд или около того. В cron нет ничего, что могло бы сделать это, и я не знаю, где искать дальше.
Nov 17 02:21:06 centaur su[7498]: + ??? root:user1
Nov 17 02:21:06 centaur su[7498]: pam_unix(su:session): session opened for user user1 by (uid=0)
Nov 17 02:21:06 centaur su[7498]: pam_unix(su:session): session closed for user user1
Nov 17 02:21:22 centaur su[7560]: Successful su for user1 by root
Nov 17 02:21:22 centaur su[7560]: + ??? root:user1
Nov 17 02:21:22 centaur su[7560]: pam_unix(su:session): session opened for user user1 by (uid=0)
Nov 17 02:21:22 centaur su[7560]: pam_unix(su:session): session closed for user user1
Nov 17 02:21:22 centaur su[7572]: Successful su for user1 by root
Nov 17 02:21:22 centaur su[7572]: + ??? root:user1
Nov 17 02:21:22 centaur su[7572]: pam_unix(su:session): session opened for user user1 by (uid=0)
Nov 17 02:21:22 centaur su[7572]: pam_unix(su:session): session closed for user user1
Nov 17 02:21:38 centaur su[7635]: Successful su for user1 by root
Nov 17 02:21:38 centaur su[7635]: + ??? root:user1
Nov 17 02:21:38 centaur su[7635]: pam_unix(su:session): session opened for user user1 by (uid=0)
Nov 17 02:21:38 centaur su[7635]: pam_unix(su:session): session closed for user user1
Nov 17 02:21:38 centaur su[7647]: Successful su for user1 by root
Nov 17 02:21:38 centaur su[7647]: + ??? root:user1
Nov 17 02:21:38 centaur su[7647]: pam_unix(su:session): session opened for user user1 by (uid=0)
Nov 17 02:21:38 centaur su[7647]: pam_unix(su:session): session closed for user user1
Мне удалось получить информацию сверху, используя следующую команду, но она оказалась менее чем полезной:
top -b -d 0.1 -n 11130 >> top-file
Результат:
6342 root 20 0 60928 1676 1260 S 0.0 0.1 0:00.00 su
Есть ли способ заставить lsof сделать что-то подобное, чтобы я мог понять, что именно происходит? Или есть лучший способ сделать это?
Я попробовал следующую команду для lsof, но, похоже, она не сработала так, как мне было нужно:
lsof +r 1 >> lsof-file
Спасибо