Der Vorteil von sudo liegt in erster Linie darin, dass du weiteren Benutzern Root-(ähnliche)-Rechte geben kannst (mehrere Administratoren), als auch Protokollierungsfunktionen, und die Option bestimmte Anwendungen/Befehle (auch ohne Passwörter) mit Rootrechten auszuführen, auch inmitten einer Reihe von weiteren Schritten.
Also eben nur dessen Featureset. Brauchst du dieses nicht, ist sudo, ganz böse gesagt, unnütz.
Würdest du sudo komplett vom System verbannen, wenn das für dich eine Option ist, hast du eine komplexere Software mit SUID-Bit weniger. Schonmal hatte Sudo ernste Sicherheitslücken, komplett ausgeschlossen ist das also auch hier nicht, dass das weitere Male Möglichkeiten zur privilege escalation schafft.
Wenn du es einfach nur nicht verwendest, bringt das aber für diesen Fall eher keinen Vorteil.
Von der Protokollierung halte Ich nichts, sofern du sie nicht komplett auf ein anderes System auslagerst. Sobald ein Angreifer Rootrechte hatte, ist es aus meiner Sicht aber auch sowieso sinnvoller das System komplett platt zu machen. Und für dieses Wissen reicht auch einfach nur das auth-log.
Ein detaillierteres Protokoll brauchst du nur in einer Situation, in der klar sein soll, welche Rootsession was (in etwa) getan hat, um hinterher evtl. weitere Schritte gegen die entsprechende Person einleiten zu können: im Vereins-/Unternehmensumfeld o.Ä..
Vorteilhaft ist es, sudo anstelle des Rootnutzers zu verwenden, aus meiner Sicht also nur aus zwei Gründen, für ein normales System das von dir administriert wird:
Komfort und eine, eher weniger nützliche, „Fehlertoleranz“ (die bei sicherer Nutzung des Rootnutzers eigentlich eher nicht nötig sein sollte, und genauso bei sudo dd …
auftreten kann).
Komfort steht hierbei dafür, dass du mitten in einer Terminalsession per wget etwas herunterladen kannst, dann die Datei prüfen, und erst/direkt dann, per sudo, mit Rootrechten in /etc einfügen kannst.
Würdest du das mit eigenständigen Rootnutzer machen, würdest du in einen möglichst nur dafür verwendeten Nutzerprofil die Dateien herunterladen, dort prüfen, und dann in einer Rootsession im System einpflegen. Wget o.Ä. sind prinzipiell einfach Tabu als Root (verarbeiten von unvertrauenswürdigen Daten).
Also würdest du selbst dich um diese Trennung mit mehr Aufwand kümmern müssen.
Dafür kannst du aber hier auch gleich jede Form von Keylogging/„sudo Imitation“ vermeiden, die nicht auf höherem Level als Nutzerrechten stattfindet:
Auf eine andere TTY wechseln (Strg + Alt + F1/…) und den SAK-Key (Strg + Alt + S-Abf + K) verwenden (um alle Programme auf der aktuellen TTY zu beenden).
Wenn das System selbst sauber ist, was der Fall sein sollte wenn kein Angreifer je erhöhte Rechte hatte, wird hierdurch ein sauberes Loginprompt für dich zur Hand sein.
Ansonsten spielt es sowieso keine Rolle, dann ist dein System nämlich (potentiell) schon auf Systemebene kompromittiert.
Falls sudo gewünscht ist: Root Login sperren. Für die Systemrettung reicht ein USB Stick mit Linux Livesystem, oder ein Installationsmedium, da kannst du dann meist eh ein chroot mit Root in das System machen.