Ich möchte noch erwähnen, dass der root-Zugriff via ssh bei uns im Konzern unter Strafe verboten ist

Ich muss niemanden für die Anmeldung bestrafen, wenn ich in /etc/ssh/sshd_config statt

PermitRootLogin prohibit-password

(jetzt auch bei RedHat so) ganz einfach

PermitRootLogin no

setze. Dann kann ich jemanden bestrafen, der das ändert. Im Übrigen kann man sowohl die known_hosts als auch die authorized_keys zentralisieren und nur noch durch Systemverwalter Zugriffe von bestimmten Maschinen mit bestimmten Schlüsseln zulassen, diese auch signieren und eine Signatur verlangen.

Das geht hier aber zu weit.

und root-Rechte maximal via sudo.

Hm. Und in /etc/sudoers steht dann das hier

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Goods privilege specification (Neverever do this shit).
gott    ALL=(ALL:ALL) NOPASSWORD:ALL

(Der Schreibfehler ist Absicht. Nicht nachmachen, Kinder!)

Am Glaubenskrieg zwischen „sudo-janern“ und „su-Benutzern“ werde ich mich nicht beteiligen. Konzerngröße ist kein Merkmal für Sicherheit. Sonst gäbe es schließlich kein Windows mehr.