ดูว่า user ใหนมีสิทธิ์ใช้ shell บ้าง
grep “sh” /etc/passwd
ส่วนหนึ่งจะเป็น user ในระบบเช่น apache mysql dovecot ก็ไม่่ต้องสนใจ ดูที่เป็น id > 500 ครับ
ดูว่ามีใครเข้ามาในระบบบ้าง
last
ถ้าเยอะมาก็
last | head -n 20
จะแสดงการเข้าระบบ 20 ครั้งล่าสุด (รวม ftp ด้วย)
last | grep tty
จะแสดงเฉพาะการเข้าระบบผ่าน shell
grep -i “allowusers” /etc/ssh/sshd_config
แสดงว่า ssh config ให้ใครเข้าระบบได้บ้าง (ถ้า plan DA กำหนด ssh ไว้มันจะมาเพิ่ม user ในนี้ให้ ให้ไปแก้ plan ใหม่)