Não.

root é o superusuário. Pode fazer tudo por definição. Nenhuma maneira de colocar restrições no sistema que não pudessem ser revertidas com root novamente.

Sim, se você implementar o controle de acesso baseado em função (RBAC) :

  

RBAC (Role-Based-Access-Control) é um controle de acesso neutro em termos de política   mecanismo definido em torno de funções e privilégios. Os componentes do RBAC   como permissões de função, funções de usuário e relações de função   É simples executar atribuições de usuários. Um estudo do NIST   demonstrou que o RBAC atende a muitas necessidades de   organizações governamentais. O RBAC pode ser usado para facilitar   administração de segurança em grandes organizações com centenas de   usuários e milhares de permissões. Embora o RBAC seja diferente de   Estruturas de controle de acesso MAC e DAC, ele pode impor essas políticas   sem qualquer complicação. Sua popularidade é evidente pelo fato de que   muitos produtos e empresas estão usando direta ou indiretamente.

Veja Como implementar e modificar políticas para controle de acesso baseado em função no Ubuntu Linux?

No RBAC, não existe um usuário "root" real como normalmente se pensa. O que normalmente é considerado como "root" torna-se uma função e você não precisa conceder permissões de função para instalar o software.

No entanto, a implementação do RBAC não é trivial e, no final, você ainda precisa ter pelo menos alguns administradores de sistema que tenham acesso total a tudo. Alguém precisa ter acesso a tudo para configurar as funções do RBAC.

Na minha experiência, o RBAC só é realmente útil para grandes organizações com muitos administradores de sistema que têm que fazer coisas muito diferentes.

Nos EUA, o RBAC também pode ser necessário para atender aos requisitos legais impostos por itens como HIPAA e Sarbanes-Oxley .

No seu caso, o RBAC quase certamente não vale a pena a sobrecarga administrativa.

Mas certamente é possível impedir que o "root" instale o software.