root
суперпользователь. Это может сделать все по определению. Никакой способ поместить любые ограничения на систему, которая не могла вернуться с root
права снова.
Да, если Вы реализуете основанное на роли управление доступом (RBAC):
Role-based-access-control (RBAC) является политикой нейтральный механизм управления доступом, определенный вокруг ролей и полномочий. Компоненты RBAC, такие как разрешения роли, пользовательская роль и отношения ролевой роли делают простым выполнить пользовательские присвоения. Исследование NIST продемонстрировало, что RBAC обращается ко многим потребностям коммерческих и правительственных организаций. RBAC может использоваться для упрощения администрирования безопасности в крупных организациях с сотнями пользователей и тысячами полномочий. Хотя RBAC отличается от MAC и платформ управления доступом DAC, он может осуществить эти политики без любой сложности. Его популярность очевидна из того, что много продуктов и компаний используют ее прямо или косвенно.
Посмотрите, Как реализовать и изменить политики для Основанного на роли управления доступом на Ubuntu Linux?
Под RBAC, как обычно думается нет никакого настоящего "корневого" пользователя. Что обычно думается, поскольку "корень" становится ролью, и Вы не должны давать этому разрешения роли установить программное обеспечение.
Однако реализация RBAC не тривиален, и в конце Вы все еще, должна иметь по крайней мере несколько системных администраторов, которые имеют полный доступ ко всему. У кого-то должен быть доступ ко всему для конфигурирования ролей RBAC.
По моему опыту, RBAC только действительно полезен для крупных организаций с большим количеством системных администраторов, которые должны сделать широко разные вещи.
В США RBAC может также быть необходим для соответствия законным требованиям, наложенным вещами как HIPAA и Sarbanes-Oxley.
В Вашем случае RBAC почти наверняка не стоит административных издержек.
Но несомненно возможно предотвратить "корень" от установки программного обеспечения.