Отключение входа в систему как root через кикстарт? Рекомендации совета?

Это вопрос, состоящий из двух частей. Во-первых, я просто хочу проверить, правильно ли я это делаю, так как не знаю, как это проверить. Цель состоит в том, чтобы запретить вход в систему с учетной записью root и заставить всех использовать sudo . Для этого я блокирую учетную запись root, чтобы никто не мог войти в систему как root. Если возникнет необходимость, я всегда могу создать учетную запись с полными правами и запускать команды, предназначенные для root, через sudo. Это подводит меня ко второму вопросу, но я задам его ближе к концу.

Причина, по которой я также ищу подтверждения, заключается в том, что, когда я проводил исследование по этой теме и как этого добиться, обсуждения были старыми и предполагали, что люди сначала устанавливают пароль через rootpw в своем файле кикстарта, затем пишут сценарий в % post , который редактирует файл / etc / shadow , чтобы установить пароль на что-нибудь еще или используйте !! . Я посмотрел на свой экземпляр Amazon EC2, чтобы узнать, что Amazon сделал для учетной записи root, и он выглядит следующим образом:

root:*LOCK*:14600::::::

Я предполагаю, что причина его блокировки связана с * , а не с * БЛОКИРОВКА * . Если мое предположение верно, тогда:

root:*LOCK*:14600::::::

Будет таким же, как?:

root:*:14600::::::

При этом, в моем файле кикстарта я отредактировал строку о rootpw , чтобы она выглядела следующим образом:

rootpw --iscrypted *

После установки мой файл / etc / shadow выглядит следующим образом:

root:*::0:99999:7:::

Поэтому мой первый вопрос: будет ли это правильным способом заблокировать учетную запись root?

Во-вторых, по теме, о которой я упоминал ранее, без использования root. Есть ли особые обстоятельства, при которых это не рекомендуется? Если да, то почему учетной записи с полным доступом с sudo (так что у вас есть аудит) недостаточно?