Использование sudo подрывает безопасность?

Только вот sudo можно настроить (в том числе и просить пароль от рута) а su — нет.

А ты видел ? Я - нет.

Видел и пользовался - сканировал порты через «молчаливый хост». Кроме того, не взирая ни на какие policy-route, всегда есть возможность протроянить комп в твоей подсети и спуфить с твоего ip даже в обе стороны.

Опять же, заманается угадывать, какой IP надо спуфить

Если тебя серьёзно собираются ломать, то я думаю, что эти люди сначала разузнают о тебе всё что нужно.

Плюс смысл где?

Это может быть частью атаки. Пример - злой хацкер ломает сайт на говноCMS и устраивает админу забан ssh, чтобы он не почистил сайт.

Что помешает подкинуть в .bashrc выполнение команд на удалённых серверах по ssh, если ключи в агенте?

Нет, пользователь запустил твой код с доступом к своим иксам. В том числе и через ssh -Y.

пользователь запустил твой код с доступом к своим иксам

Прям взял и запустил? Может тогда просто попросить его сказать пароль?

Это тоже проблема, более правильно было бы держать чистого отдельного пользователя с которого осуществляется доступ по SSH на удаленный сервер.

Видел и пользовался - сканировал порты через «молчаливый хост»

Молчаливый хост-то рядом с тобой ? Как ты это провернёшь с IP за другим роутером ? Ты же ответа не увидишь. Этого спуфига, в данной ситуации, только на DoS и хватит.

Если тебя серьёзно собираются ломать, то я думаю, что эти люди сначала разузнают о тебе всё что нужно.

Гораздо больше вероятность, что это не серьёзные люди, а тупой бот ищет лохов. А представить, что серьёзные люди заинтересуются чем-то на хостинг-площадке с веб-админкой - это странно. Как правило, серьёзные цели в таких местах не размещены, значит у админа будут другие варианты доступа, кроме ssh.

Мы же обсуждаем нужность пароля для sudo. И в этой ситуации пароль sudo спокойно обходится.