Vorneweg: Die meisten Benutzer hier kennen sich mit Autovergleichen besser aus als mit Security. Überprüfe also doppelt und dreifach alles, was du hier liest. Egal wie sinnvoll und logisch es dir erscheinen mag.
Die Schwierigkeit liegt hier weniger beim technischen, sondern mehr beim organisatorischen Umsetzen (IAM als Stichwort) und Abwägen der Risiken.
Zuallererst solltest du eine abschliessende Liste aller menschlichen Nutzer anlegen. Wenn du weisst, wer alles am System arbeiten wird, musst du dir überlegen, wer welche Rechte braucht und welche gesetzlichen Vorgaben du einhalten musst (Datenschutz, Audit etc).
Du musst alle Risiken abwägen.
Und du solltest das ganze auch vom Management/Familie/Betroffenen schriftlich absegnen lassen.
Beim ganzen empfehle ich dir, hauptsächlich zwei Prinzipien zu folgen: KISS (Keep it simple and stupid) und principle of least privilege. Wer braucht die Rechte wirklich und ist die Umsetzung so einfach wie möglich, aber weder einfacher noch komplizierter?
Ich kenne deine Vorgaben nicht, versuche dir aber trotzdem einen sinnvollen Leitfaden zu geben:
- Informiere dich über Benutzer, Gruppen, Prozesse, Rechte und sudo unter Linux
- Installiere Arch Linux
- Erstelle ein Administratorenkonto (kann ein Konto sein, das du selbst nutzt oder ein "technisches" Konto, das nur zur Systemverwaltung genutzt wird)
- Installiere sudo
- Füge das Administratorenkonto zur Gruppe wheel hinzu
- Teste, ob du mit dem Administratorenkonto tatsächlich erhöhte Rechte bekommst: sudo ls -l /root
- Sperre das Konto von Benutzer root: sudo passwd -l root
- Erstelle die anderen Benutzer
- Füge die berechtigten Benutzer der Gruppe wheel hinzu
Um es möglichst einfach und übersichtlich zu haben, solltest du die Vergabe von erhöhten Rechten ausschliesslich über die Mitgliedschaft in der Gruppe wheel steuern. Wer mit erhöhten Rechten alles machen darf, ist in der Gruppe wheel und alle anderen eben nicht.
Bedenke aber: Wenn man das System im Recovery Modus starten kann, sind die obigen Massnahmen wirkungslos. Ausserdem kann man von einem Live-System aus ins installierte System mittels chroot wechseln.