Как узнать, установил ли пользователь root кейлоггер / вредоносный пакет?

У меня есть мой друг, пользователь root, доступ несколько месяцев назад. У него есть доступ по ssh, так как мне нужна была помощь в устранении проблемы ci / cd. Недавно я заметил, что он пытается просмотреть компьютер моего друга, как будто он читает всю свою жизнь (сообщения мессенджера, фотографии Google, хронологию Google, историю поиска, историю браузера и электронную почту). Я собираюсь переустановить свой сервер на следующих выходных из-за этого нового опыта. Могу ли я найти какие-нибудь шпионские инструменты, установленные на моем компьютере с Linux? Очень грустно видеть, что доверенный друг делает такие вещи.