Нет.

root суперпользователь. Это может сделать все по определению. Никакой способ поместить любые ограничения на систему, которая не могла вернуться с root права снова.

Да, если Вы реализуете основанное на роли управление доступом (RBAC):

Role-based-access-control (RBAC) является политикой нейтральный механизм управления доступом, определенный вокруг ролей и полномочий. Компоненты RBAC, такие как разрешения роли, пользовательская роль и отношения ролевой роли делают простым выполнить пользовательские присвоения. Исследование NIST продемонстрировало, что RBAC обращается ко многим потребностям коммерческих и правительственных организаций. RBAC может использоваться для упрощения администрирования безопасности в крупных организациях с сотнями пользователей и тысячами полномочий. Хотя RBAC отличается от MAC и платформ управления доступом DAC, он может осуществить эти политики без любой сложности. Его популярность очевидна из того, что много продуктов и компаний используют ее прямо или косвенно.

Посмотрите, Как реализовать и изменить политики для Основанного на роли управления доступом на Ubuntu Linux?

Под RBAC, как обычно думается нет никакого настоящего "корневого" пользователя. Что обычно думается, поскольку "корень" становится ролью, и Вы не должны давать этому разрешения роли установить программное обеспечение.

Однако реализация RBAC не тривиален, и в конце Вы все еще, должна иметь по крайней мере несколько системных администраторов, которые имеют полный доступ ко всему. У кого-то должен быть доступ ко всему для конфигурирования ролей RBAC.

По моему опыту, RBAC только действительно полезен для крупных организаций с большим количеством системных администраторов, которые должны сделать широко разные вещи.

В США RBAC может также быть необходим для соответствия законным требованиям, наложенным вещами как HIPAA и Sarbanes-Oxley.

В Вашем случае RBAC почти наверняка не стоит административных издержек.

Но несомненно возможно предотвратить "корень" от установки программного обеспечения.