Успешный su для пользователя root в /var/log/auth.log

В моем /var/log/auth.log есть такие записи:

Apr  3 12:32:23 machine_name su[1521]: Successful su for user1 by root
Apr  3 12:32:23 machine_name su[1654]: Successful su for user2 by root
Apr  3 12:32:24 machine_name su[1772]: Successful su for user3 by root

Ситуация:

Все пользователи являются реальными учетными записями в / etc / passwd;
Ни у кого из пользователей нет собственного crontab;
Все эти пользователи вошли в систему некоторое время назад через SSH или без машины - время варьируется от нескольких минут до нескольких часов;
в это время не планируется запуск заданий cron, анакрон удаляется;
Я могу видеть похожие записи в другие дни и в другое время. Общая часть - пользователи входят в систему, когда она появляется. Он появляется не во время входа в систему, а через некоторое время после него.

Эта машина имеет аналогичную настройку с некоторыми другими, но это единственная, где я вижу эти записи.

Что их вызывает? Спасибо

Изменить: мне удалось сузить его. Я считаю, что это вызвано cron @reboot. Самое забавное - запускает "что-то" только для пользователей, вошедших прямо перед перезагрузкой. Я проверил /var/spool/cron, crontab -u <username> -l, grep -r @reboot /etc /var и ничего не вижу.

Как я мог бежать cron @reboot вручную?

Если вы не можете найти источник su запускает, auditd будет отслеживать их для вас. Посмотреть здесь: https://superuser.com/a/222924

Это говорит Вот что программа входа в систему запускается пользователем root. Когда пользователь открывает сеанс, он открывается с правами root, затем root su-es для этого пользователя, что согласуется с вашими записями журнала (root становится пользователем через su)