авторА теперь обоснуй свое мнение - почему заход на ssh под рутом неправильнее, чем использование su.

Можно я? Например, меньше соблазна прописать в каком-нить клиенте ssh/scp рутовские имя/пароль. Понятно, что так мало кто сделает - но лучше этой возможности вообще не предоставлять.
Далее - открытость root аккаунта - эта возможность побрутфорсить рута по тому же ssh. Понятно, что все это прикрывается и пароли должны быть нормальные - но опять же зачем давать лишний шанс?


P.S. правильнее использование sudo :-)

no-dashi-v2 все равно это дает лишний шанс потенциальному взломщику.
Пусть ничтожный, но из таких мелочей и складывается безопасность. Тут ослабили, там схалявничали - до добра не доведет.
Если есть возможность где-то навести строгости и что-то закрыть, даже на первый взгляд малозначимое - надо это обязательно сделать.

Это бесспорно.
Но в данном конкретном случае - неужели набрать su/sudo и пароль лишний раз - это какой-то страшный ущерб функциональности?

Обоснуйте пожалуйста ущерб функциональности в данном случае - только без религии, объективно, циферками :-)

начнем с этого
no-dashi-v2Пример 3 - вы используете некоторую разновидность сетевой аутентификации, но произошла проблема непонятно с чем, и остались доступны только локальные эккаунты

Ну и что? Сетевая аутентификация - это хорошо - но всегда надо иметь локальный пользовательский аккаунт на всякий случай.

no-dashi-v2Пример 2 - необходимо в автоматическом режиме сделать копии /etc/passwd и /etc/shadow с одного сервера на другой.

Тоже можно придумать. Видимо, имеется в виду периодическое копирование?
Если на машинах время синхронизировано - то кроновое задание под рутом на первой машине берет искомые файлы, копирует их , делает su на обычного юзера и уже из-под него перемещает на машину N2. Время сего действа ограничено
На машине же N2 опять же рутовый скрипт через фиксированное время их перекладывает куда надо.
То же можно сказать об остальных примерах, если надо периодически что-то от рута читать/писать по сети между системами.

Идея наверное корявая, но оригинальнее в мою сонную голову пока ничего не пришло.

С автоматической раскладкой - это разовая акция, тут можно было бы чего-нибудь даже поинтереснее придумать. Может expect заюзать. Надо подумать.

Естественно, это наверное более усложнено, чем ломиться рутом, но и задачи такие бывают не всякий раз. Далеко не на каждой машине. Но даже и они разрешимы.

no-dashi-v2На всех компах? А пароль менять Вася Рябый будет?
Ну root-у на серверах же мы меняем периодически пароль. Так что периодическая смена локальных паролей все равно имеет место быть.

Я не спорю, что прямой доступ root-у ускорит задачи вроде предложенных Вами. Но я бы сто раз подумал, прежде чем его открыть. Если действительно для данного случая это имеет смысл - можно сделать. в виде исключения.
Линуксы в этом смысле кстати как раз настраиваю "в стиле FreeBSD", чтобы тоже root не мог по сети заходить.