Como dice el título. Comportamiento interesante. Acabo de cambiar a nologin como usuario root por seguridad, después de agregar mi usuario a los grupos root y sudo. Agregué un tiempo de espera de sudo más largo como se describe en el siguiente enlace. Entonces debería poder usarlo usermodsin agregar sudo porque la raíz es propietaria de /etc/passwd y el usuario es parte del grupo raíz... ¿no?
Además, encontré dos problemas más, probablemente relacionados... el uso de guestmount falló con los permisos, por lo que agregué un usuario al grupo kvm (propietario del archivo de queja), pero aún requiere sudo. Además, una vez montado, probé ls en /mnt, pero tengo que usar sudo aunque /mnt sea root:root..
Este no es un problema trivial, porque nologin en la raíz deshabilita la mayoría de los ataques ssh de fuerza bruta y, sin embargo, tener que usar sudo antes de cosas como ll deshabilita cualquier alias.