В моем идеальном мире рут только у админа должен быть. Все, что делают программисты, запускается из под отдельных пользователей (обычно под каждый проект свой пользователь) и соответственно программисты, которым доступ на прод нужен, могут иметь доступ к файлам/данным этих пользователей.
А в вашем идеальном мире реалтайм логи - они как смотрятся? А включение-отключение отладки? А анализ coredump, если такой случается именно на проде и именно с этим пользователем?
Вот в моём мире, где сервера в кластере клонированы, обязательно есть субкластер, где я, или программист, или девопс, или даже представитель вендора может под контролем включить режим отладки, предварительно перетащив туда часть аудитории или вообще одного пользователя для A/B теста.
И там уже смотреть, почему вот сию секунду там что-то ломается. И при этом мне не надо заниматься игрой в безопасность, устраивая правила типа "доступ в БД - только у DBA" или "root только у админа". Потому, что ДБА не обязан знать все SQL-запросы в системе, их легко может быть 10000 штук, а админ - на уровне разработчика разбираться в коде на go, c, c++, node и python. Потому, что мы живём в реальном мире, тут нельзя всё написать на уловном malbolge и обучить всех одинаково.
