auth.log中su成功

我在/var/log/auth.log中有这样的条目：

Apr 3 12:32:23 machine_name su[1521]: Successful su for user1 by root Apr 3 12:32:23 machine_name su[1654]: Successful su for user2 by root Apr 3 12:32:24 machine_name su[1772]: Successful su for user3 by root

情况：

所有用户都是/ etc / passwd中的真实账户;
没有一个用户拥有自己的crontab;
所有这些用户都是通过SSH或者没有机器在一段时间之前login到机器的 – 时间从几分钟到几小时不等，
当时没有cron工作计划运行，anacron被删除;
我可以看到其他日子和其他时间的类似条目。常见的部分是用户login时出现。它不会在login过程中出现，但会在一段时间后出现。

这台机器有类似的设置与其他几个，但它是唯一一个我看到这些条目。

是什么导致他们？谢谢

编辑：我设法缩小了。我相信这是由cron @reboot引起的。有趣的部分是 – 它仅在重启前login的用户运行“某些东西”。我检查了/var/spool/cron ， crontab -u <username> -l ， grep -r @reboot /etc /var ，看不到任何东西。

我如何手动运行cron @reboot ？

如果您找不到su启动的来源，则auditd将会为您进行跟踪。看到这里： https : //superuser.com/a/222924