пользователь sudoerrs > NO_PASS - это фактически root?

1. Любому sudo пользователю все доступно.
2. Без разницы.

Могу ошибаться, поправьте если что-то не так.

1. На самом деле не совсем, в sudoers можно ограничить пользователю/группе набор команд, который можно запускать через sudo.

в целом, лучше создать пользователя. как минимум потому что root - well-known name, а, например, vpupkin - уже не особо

да и отследить, кто через судо набедокурил, при случае - будет проще. если там не один судо-пользователь планируется. (понятно, что это защита весьма такая себе, но в принципе..)

Я щитаю, что пользователь должен по ssh-ключу ходить в свою учётку, а доступ к root’у у него должен быть через sudo с обязательным паролем. Если растяпа потеряет свой нубук, злодей как минимум должен будет ещё и пароль знать чтоб sudo на сервере сделать в рута.

P.S. Какие ещё варианты есть, господа? Много где слышу что sudo шерето и в некоторых системах оно вообще по умолчанию не стоит.

Любому sudo пользователю все доступно.

Вот не помню уже что я делал, но была какая-то операция хитрая, которая от sudo не работала(именно access denied было), а если то же самое делать после «su -», то всё проходило успешно. Что за операция была сейчас уже не припомню правда. Но там правда, что-то зело специфичное и глубокосистемное было.

P.S. Какие ещё варианты есть, господа?

Вообще такой проблемы давно нет поскольку на приличный прод ходят только сисадмины. Разработка отделена от эксплуатации и просто дает сборки.

Что sudo с паролем, что sudo без пароля: sudo -i - и ты root

Если хочешь ограничить, то можно задать список разрешенных от sudo команд, но там тоже думать надо чтобы из разрешенной приложухи не смогли в sheel выйти

ssh ключ можно дополнительно запаролить

В частности, когда стоит выбор

В sshd надо запретить логин за рута, а пользователю дать обычный аккаунт и пароль для su. sudo надо снести, это чушь с виндузятной идеологией и регулярно обнаруживаемыми дырами в ненужном коде.

можно задать список разрешенных от sudo команд, но там тоже думать надо чтобы из разрешенной приложухи не смогли в sheel выйти

Потому что думать надо не как дописывать дополнительные костыли к уже имеющемуся sudo, а как нормально выдавать доступ к функциям, а не к текстовым строкам по регуляркам.

Становится ли пользователь, который добавлен в sudoerrs > NO_PASS

Должен

нет. no_pass это вообще про то что пароль запрашивать не будет. и принципиально нет. рут это рут. а sudo дает возможность выполнять какие то команды каким то пользователям от имени другого пользователя. То что без пароля все команды от рута это просто частый случай кретинизма. не все можно сделать сделать из под судо, иногда нужен нормальный root. например если ты запорол конфиг судо )))