Sok messzire vezető tanácsot kaptál, vannak ennél egyszerűbb és hamarabb ellenőrzendő dolgok.
A
last
parancs megmutatja melyik login névvel mikor léptek be utoljára. Ha ebben gyanús időpont vagy login név szerepel, annak érdemes utánajárni. Ha nem mutat semmit, akkor hiányzik az a log fájl amiből dolgozna, ez elve gyanús. Meg kell nézni, hogy rotálódott vagy eltűnt. Ha eltűnt, az szinte biztos, hogy biztonsági incidens.
Megnézheted még a /var/log/auth.log fájlt. Ebben vannak az authentikációs kísérletek és a sikeres authentikációk is naplózva. Tanulságos visszanézegetni.
Érdemes ellenőrizni, átgondolni, hogy van-e olyan login a gépen ami nem üti meg a minimális követelményeket. Mondjuk 6 karakternél semmiképp se legyenek rövidebbek és lehetőleg ismert szó se legyen.
Be lehet-e távolról root userrel lépni? Ez eleve gáz.
Van-e a root usernek jelszava, vagy be lehet lépni jelszó nélkül rootként? Ez még gázabb.
Utóbbi három önmagában is komoly kockázat. Láttam már néhány gépet amit ezek valamelyikén keresztül "törtek meg". Azaz törtek a fenét. Beléptek.