[Resolvido] Acesso remoto, como saber se alguém tem o acesso?

[Eduardof]

Bom, entrei em uma empresa agora, o antigo responsável pelo servidor ubuntu não me passou nenhuma informação a não ser as senhas.

Bom, algumas configurações tem mudado sozinhas ultimamente, o que não é normal, conversando com alguns colegas da empresa descobri que o antigo técnico tinha acesso remoto ao servidor, minha pergunta é, existe alguma forma de descobrir se ele realmente tem o acesso remoto ao servidor, qual o programa que utiliza e se sim, como posso bloquear isso?

Vlw

[jeflui]

Se for acesso via ssh, veja o log.
/var/log/auth.log
Comando:

Código: [Selecionar]

wVocê pode ver quais usuários estão "logados" no momento.

[Eduardof]

Blz maninho, consegui aqui vendo o log,

Vlw a dica, era por ai mesmo que ele estava acessando, já troquei as senhas.

[zekkerj]

Blz maninho, consegui aqui vendo o log,

Vlw a dica, era por ai mesmo que ele estava acessando, já troquei as senhas.

Era a primeira coisa que deveria ter feito... 

Outra dica: revise todos os usuários instalados nesse servidor, e desabilite todos os que não tiverem motivo imediato pra existir. Se possível, expire a senha de todos os "sobreviventes", faça com que todos troquem suas senhas também.

Revise também o arquivo "/etc/sudoers". É ele que dá aos usuários administradores o poder de executar tarefas como se fossem o super-usuário (root) --- o que eu chamo de "poderes de sudo".

Por fim, revise os grupos "wheel" e "admin", pois é comum que os usuários que façam parte desses grupos também tenham poderes de "sudo".