Evita acesso de gravação para raiz em diretórios home

Você está fazendo a pergunta errada se quiser uma resposta diferente de " Não " - o root não pode ser impedido de fazer qualquer coisa (incluindo a alteração de permissões, mas pode * deity * define permissões tão restritas que nem mesmo elas podem contorná-las?).

O que você provavelmente quer é poder dar alguns privilégios administrativos (instalando programas e outros) aos usuários sem torná-los onipotentes no sistema. Para isso, você pode usar, e. sudo com restrições em um nível de usuário / grupo.

O usuário root pode modificar qualquer coisa na casa de qualquer usuário, isso é por design.

Para que os usuários possam ler, mas não modificar arquivos, você terá que usar grupos e conceder permissão de grupo somente leitura aos arquivos. Um exemplo, que ilustra seu caso de uso, está disponível em aqui :

Se você alterar seu diretório / home para ser uma montagem NFS, poderá usar a opção root_squash para que o usuário root no mapa de caixa local seja um usuário anônimo no servidor NFS. Isso evitaria que o root em sua caixa pudesse modificar os arquivos em / home.

No entanto, enquanto o root nunca pode modificar os arquivos de outros usuários no servidor NFS, tenha cuidado com o fato de que existem coisas maliciosas que o root ainda pode fazer. Por exemplo, o root poderia desmontar o / home e substituí-lo por um / home aparentemente duplicado para o qual ele poderia gravar. Ele também poderia montar um sistema de arquivos falso por cima do diretório home de outro usuário, no qual ele também poderia gravar. Embora os arquivos originais ainda estejam seguros e intocados no servidor NFS, seus usuários não saberão como procurar por esse truque e você poderá se deparar com qualquer problema que esteja tentando evitar.