Anmeldung als Root über Kickstart deaktivieren? Ratschläge und Empfehlungen?

Dies ist eine Frage aus zwei Teilen. Erstens möchte ich nur überprüfen, ob ich das richtig mache, da ich nicht sicher bin, wie ich das testen soll. Das Ziel ist, die Anmeldung des Root-Kontos zu untersagen und alle verwenden zu lassen sudo. Um dies zu erreichen, sperre ich das Root-Konto, sodass sich niemand als Root anmelden kann. Falls es nötig sein sollte, kann ich jederzeit ein Konto mit allen Berechtigungen erstellen und Befehle, die für Root bestimmt sind, über sudo ausführen. Dies führt mich zu meiner zweiten Frage, die ich aber gegen Ende stellen werde.

Der Grund, warum ich auch nach einer Bestätigung suche, ist, dass die Diskussionen, als ich zu diesem Thema und der Vorgehensweise recherchierte, schon alt waren und vorgeschlagen haben, dass die Leute zunächst ein Passwort über rootpwin ihrer Kickstart-Datei festlegen und dann ein Skript schreiben, %postdas die Datei bearbeitet /etc/shadow, um das Passwort auf etwas anderes festzulegen, oder verwenden !!. Ich habe mir meine Amazon EC2-Instanz angesehen, um zu sehen, was Amazon für das Root-Konto getan hat, und es sieht so aus:

root:*LOCK*:14600::::::

Ich gehe davon aus, dass der Grund für die Sperrung der ist *und nicht der *LOCK*. Wenn meine Annahme richtig ist, dann würde:

root:*LOCK*:14600::::::

Sei genauso wie?:

root:*:14600::::::

Dennoch habe ich in meiner Kickstart-Datei die Zeile dazu so bearbeitet, dass sie rootpwwie folgt aussieht:

rootpw --iscrypted *

Nach der Installation /etc/shadowsieht meine Datei wie folgt aus:

root:*::0:99999:7:::

Daher lautet meine erste Frage: Wäre dies eine korrekte Möglichkeit, das Root-Konto zu sperren?

Zweitens zu dem Thema, das ich zuvor angesprochen habe: Root nicht verwenden. Gibt es besondere Umstände, unter denen dies nicht empfohlen wird? Wenn ja, warum würde ein Vollzugriffskonto mit sudo (damit Sie über eine Überwachung verfügen) nicht ausreichen?