Хорошо добавив свой вопрос и ответ Оли, если вы находитесь на ноутбуке, вы также можете проверить его, выбрав точный контент, например
sudo cat /var/log/auth.log | grep "Lid opened"
или же
sudo cat /var/log/auth.log | grep "Lid closed"
и выполняет ли он / она какую-либо деятельность с разрешения sudo
sudo cat /var/log/auth.log | grep "session opened for user root"
или же
sudo cat /var/log/auth.log | grep "session closed for user root"
Это даст вам дополнительную информацию о том, что вы хотите знать о том, как пользователь вошел в вашу систему без вашего разрешения :) :)
last
в терминале