Я несколько устал от нашей дискуссии по поводу sudo.
И это вы увидели только верх айсберга.
Потому шо с моей точки зрения, решение должно быть не на уровне программного компонента (который ведёт мейнтейнер/мейнтейнеры), а комплексным, на уровне системы. И то решение, по вашей последней ссылке, не решает проблему в целом.
Как бы вам это образно и попроще объяснить?..
Представьте себе частицу, с огромной скоростью летящую к абсолютно твёрдой поверхности. Летящая частица, это способ достижения результата на уровне программного компонента. Затем частица ударяется об абсолютно твёрдую поверхность. Соприкосновение с ударом, это результат достижимый программным компонентом. Ударившись, частица разлетается в разные стороны множеством осколков. Веер осколков, это способ достижения того же результата, но другими методами (программными компонентами). Которые мейнтейнера исходного компонента, никаким боком не касаются. Но всё это в целом, это комплексный подход в решении проблемы. На уровне системы в целом.
Выше по вашей ссылке, метод блокировки через отключение учётной записи root, неверен в принципе. Потому что отталкиваться нужно не через метод блокировки, а прямо до наоборот: через методы достижения получения root-шелл. И выше показаны четыре метода. И не уверен, что ими всё и ограничивается. Не забываем про out of range (про uid вне диапазона). Который позволяет любому непривилегированному пользователю с uid вне диапазона, беспарольно получить root-шелл. Поэтому блокировка получения root-шелл, должна быть не через отключение учётной записи root, а через блокировку использования root-шелл. Что в комплексном решении на уровне системы, находится за пределами sudo. Потому что sudo, не имеет никаких инструментов блокировки получения root-шелл. Теоретически, все четыре метода блокируются. Но для systemd-run, не знаю ни одного гладкого. Предложенный на трекере, решает одну проблему, но порождает другую. Проблему соадминистраторов в sudo.
В частности, отправленный в своё время #37516, был установлен в critical. Но эта ошибка настолько опасна, что Дмитрий Левин перевёл её с critical в blocker.
См. blocker в альтовой вики:
https://www.altlinux.org/BugTracking/BugzillaMiniHowto#Заведение_нового_багаВ альтовых системах на sysv она не работает. В системах на systemd или elogind, её можно блокировать рулезом polkit.
Гипотетически, это могло бы выглядеть так:
Если бы Лёша Гладков имел бы возможность поддерживать elogind, то блокировщик тут же попал бы в пакет polkit-sysvinit.
А всё это в целом, всего лишь касается использования sudo.
Теперь понимаете какого размера этот "айсберг"?
Принципиально другой, и весьма оригинальный метод, озвучивал Solar Designer (специалист в области безопасности):
У них нет sudo, а root-а они держат залоченым. Вместо root-а создаются пара пользователей с uid=0. И sulogin заменяется на msulogin разработки Solar Designer. Который как минимум позволяет выбирать root-а в single user mode.
Такой метод настройки, можно без проблем применять например на производстве с круглосуточным графиком рабочего дня.