Я вижу несколько корневых записей входа в систему в auth.log в одних из наших серверов баз данных, но я не знаю, ли это приложения, входящие в систему нашей базы данных, или ssh регистрируют ins.
FWIW Мы поворачиваем наших пользователей базы данных, чтобы прекратить использовать корень.