Рекомендации по установке паролей для пользователей Ubuntu, чтобы ограничить доступ к привилегированному root-доступу

Облачные экземпляры нельзя сравнить с обычным десктопом. Это серверы, к которым вы подключаетесь с помощью SSH.

Если кто-то проникнет на ваш компьютер, вы уже проиграли битву, поэтому экземпляром Cloud может быть Ubuntu с администратором без пароля.

Было бы достаточно установить пароль для пользователя Ubuntu (кажется, при выполнении sudo su запрашивается пароль)

Нет необходимости в пароле.

или следует учитывать дополнительные соображения?

Приватные ключи SSH — это то, что вам нужно. Плюс, если необходимо: блокировка местоположения или машины. Наши облачные экземпляры, к которым я могу подключиться из дома или с работы и нигде больше, если сначала не получу на это разрешение.

Я также заметил, что новые строки ubuntu ALL=(ALL) NOPASSWD:ALL добавляются, если вы перезапускаете экземпляр из резервной копии AMI, это нормальное поведение?

GCE/Google тоже так делают. Это (вероятно) для того, чтобы вы всегда могли получить доступ к машине, поскольку восстановление резервной копии выполняется в случае какой-либо проблемы. Если вы забыли свой пароль к своему экземпляру, это единственный способ вернуться к нему: нет живого сеанса или приглашения grub, к которому можно было бы вернуться. В этом случае лучше использовать администратора без пароля.

Пользователь и пароль нужны только для того, чтобы вы могли выполнить первоначальный вход в систему и настроить свою облачную систему. Лучше всего создать собственную учетную запись администратора и использовать свои собственные ключи SSH, а затем отключить (или удалить; мы обычно отключаем) пользователя. Другие пользователи должны использовать свои собственные учетные записи, созданные администратором. Никто из них никогда не должен использоватьubuntuпользователь.

По той же причине вы не обновляете облако, а создаете копию своего пользовательского диска и подключаете ее к новому системному диску.