Desativando o login como root via kickstart? Recomendações de conselhos?

Esta é uma questão de duas partes. Em primeiro lugar, estou apenas buscando a validação, se estou fazendo isso corretamente, pois não tenho certeza de como testar isso. O objetivo é proibir o login da conta root e fazer com que todos usem o sudo. Para conseguir isso, estou bloqueando a conta root, impedindo que qualquer pessoa faça login como root. Se necessário, sempre posso criar uma conta com permissões totais e executar comandos destinados ao root por meio do sudo. Isso me leva à minha segunda pergunta, mas farei essa pergunta perto do final.

A razão pela qual também estou procurando validação é porque quando fiz pesquisas sobre o assunto e como conseguir isso, as discussões eram antigas e sugeriam que as pessoas inicialmente definissem uma senha rootpwem seu arquivo de kickstart e depois escrevessem um script que %posteditasse o /etc/shadowarquivo para definir a senha para outra coisa ou use !!. Eu olhei para minha instância do Amazon EC2 para ver o que a Amazon fez para a conta root e ficou assim:

root:*LOCK*:14600::::::

Estou assumindo que o motivo pelo qual está bloqueado é por causa do *e não do arquivo *LOCK*. Se minha suposição estiver correta, então:

root:*LOCK*:14600::::::

Ser igual a?:

root:*:14600::::::

Dito isto, no meu arquivo kickstart eu editei a linha sobre o rootpwpara ficar assim:

rootpw --iscrypted *

Após a instalação, meu /etc/shadowarquivo ficará assim:

root:*::0:99999:7:::

Portanto, minha primeira pergunta é: essa seria uma forma correta de bloquear a conta root?

Em segundo lugar, no tópico que mencionei anteriormente, não usar root. Há alguma circunstância específica em que isso não é recomendado? Se sim, por que uma conta de acesso total com sudo (para que você tenha auditoria) não seria suficiente?