Barrapunto

"Yo creo que incluso sin existir esa máquina "puente" el problema sería el mismo, independientemente de que se utilice usuario root u otro."

No lo es.

Mantener confianza entre cuentas es útil y en ocasiones inevitable. En sí mismo, no es un problema de seguridad.

Lo que es un problema grave y un error de bisoño es establecer confianzas a un nivel cuando no quieres o no debes confiar en esos mismos entornos a otros niveles.

No hay ningún problema especial, por ejemplo, en disponer confianza entre una cuenta en un servidor de copias de seguridad y un cliente en la misma red. Es cierto que si cae la cuenta del servidor de copias, un agente malicioso podría tener acceso a las copias de seguridad, pero no es menos cierto que eso mismo ocurriría para cualquier caso en el que se comprometa la seguridad del servidor de copias, con lo que utilizar autenticación automática para una cuenta, no disminuye la seguridad.

Otra cosa sería, por ejemplo, colocar ese servidor de copias en internet, y utilizarlo para copiar discos en una red interna. Entonces tendríamos por un lado confianza entre cuentas, pero por otro dos entornos de seguridad (internet/intranet) que habíamos decidido mantener separados. En este caso, el problema es más amplio, pero equivalente (por eso lo he escogido como ejemplo): hemos puesto datos en un sitio en el que no deberían estar.

De igual modo, no hay problema especial en que todas las cuentas "root" de un cluster tengan la misma password (o, en general, el mismo procedimiento de autenticación), o incluso todos los servidores "similares" de un cierto grupo de trabajo: en nuestro planteamiento topológico ya hemos dado por hecho que, perdido un nodo, todos se deberán considerar perdidos a efectos prácticos.

El problema aparecería si utilizasen la misma password de root, por ejemplo, todos los servidores del grupo de "alumnos" *Y* todos (o alguno de ellos, puesto que luego los servidores del segundo grupo podrían tener confianzas entre sí) los servidores del grupo "auditoría de cuentas". El problema es, de nuevo, que estamos concediendo equivalencia entre cuentas, pero entre sistemas entre los que no queríamos que hubiese confianza. No importa que estemos hablando de telnet, de ssh, de contraseñas o de pares de claves: hemos metido la pata.

Existen, por supuesto, otras consideraciones de "seguridad en profundidad" en el caso concreto de la confianza entre cuentas con privilegios de administración que empeoran el caso. No es la primera vez que veo lo que has comentado: la cuenta con la que suele trabajar el administrador de sistemas cuenta con equivalencia (mediante rhosts, pares de claves, o como sea) con las cuentas administrativas de los servidores a su cargo: caída su máquina (que NO está en el mismo realm de seguridad que los servidores), caídos todos los servidores.

Si el administrador usa, además, su equipo para acceder remotamente a las instalaciones, ni te cuento el follón que se puede montar.

Pero vuelvo a lo ya dicho: si un administrador es incapaz de ver lo que acabo de decir, es que no tiene el nivel de competencia requerido para el puesto. Además, a los administradores se les paga para que hagan bien su trabajo, no para que traten de trabajar un poquito más cómodos (para eso establecen la equivalencia de root) a cambio de mandar a tomar por el culo la seguridad de los sistemas.

Lo dicho: a la puta calle.