Desabilitando o login como root via kickstart? Recomendações de conselhos?

Esta é uma questão de duas partes. Em primeiro lugar, estou apenas olhando para validação, se estou fazendo isso corretamente, pois não tenho certeza de como testar isso. O objetivo é impedir o login da conta raiz e fazer com que todos usem sudo . Para conseguir isso, estou colocando um bloqueio na conta raiz impedindo que alguém faça login como root. Se a necessidade surgir, eu sempre posso fazer uma conta com permissões completas e executar comandos destinados ao root através do sudo. Isso me leva à segunda pergunta, mas vou perguntar isso perto do fim.

A razão pela qual eu também estou procurando validação é porque quando eu pesquisei sobre o tópico e como conseguir isso, as discussões eram antigas e sugeri que as pessoas inicialmente definissem uma senha via rootpw em seu arquivo de kickstart, então escrevessem uma script em %post que editou o arquivo /etc/shadow para definir a senha para outra coisa ou usar !! . Eu olhei para a minha instância do Amazon EC2 para ver o que a Amazon fez para a conta root e se parece com isso:

root:*LOCK*:14600::::::

Estou assumindo que o motivo do bloqueio é por causa do * e não do *LOCK* . Se minha suposição estiver correta, então:

root:*LOCK*:14600::::::

Seja o mesmo que?:

root:*:14600::::::

Dito isso, no meu arquivo de kickstart eu editei a linha sobre o rootpw para se parecer com o seguinte:

rootpw --iscrypted *

Após a instalação, meu arquivo /etc/shadow é semelhante ao seguinte:

root:*::0:99999:7:::

Em segundo lugar, sobre o assunto que mencionei anteriormente, não usando root. Há alguma circunstância específica em que isso não seja recomendado? Em caso afirmativo, por que uma conta de acesso completo com o sudo (para que você tenha auditoria), não é suficiente?