На основе отсутствия действия в журналах доступа и т.д. и факт, который происходит примерно в то же время, казалось бы, что они поставили под угрозу сервер и имеют сценарий оболочки какое-то выполнение для выполнения добавления.
Вы проверили crontab на что-либо странное?
Вы попытались переименовать каталог и ссылки на него (это может повредить сценарий оболочки)?
Какой дистрибутив вы используете? RHEL и CentOS используют pam 0.99. В настоящее время обнаружена ошибка, связанная с этой проблемой ( https://bugzilla.redhat.com/show_bug.cgi?id=554518 ), но я считаю, что они просто используют старую версию PAM.
Если с помощью плагина "openvpn-плагин-auth-pam.so" установить пары ключ-значение так:
плагин /usr/lib/openvpn/openvpn-плагин-auth-pam.so:
плагин /usr/lib/openvpn/openvpn-плагин-auth-pam. так что "openvpn mykey mykey myval login COMMONNAME"
тогда он не устанавливает PAM_USER (потому что он вызывает pam_start с user=NULL), может быть это ваша проблема?
.