Não.
root
é o superusuário. Pode fazer tudo por definição. Nenhuma maneira de colocar restrições no sistema que não pudessem ser revertidas com root
novamente.
Eu quero restringir o usuário root de instalar pacotes
root
é o superusuário. Pode fazer tudo por definição. Nenhuma maneira de colocar restrições no sistema que não pudessem ser revertidas com root
novamente.
Sim, se você implementar o controle de acesso baseado em função (RBAC) :
RBAC (Role-Based-Access-Control) é um controle de acesso neutro em termos de política mecanismo definido em torno de funções e privilégios. Os componentes do RBAC como permissões de função, funções de usuário e relações de função É simples executar atribuições de usuários. Um estudo do NIST demonstrou que o RBAC atende a muitas necessidades de organizações governamentais. O RBAC pode ser usado para facilitar administração de segurança em grandes organizações com centenas de usuários e milhares de permissões. Embora o RBAC seja diferente de Estruturas de controle de acesso MAC e DAC, ele pode impor essas políticas sem qualquer complicação. Sua popularidade é evidente pelo fato de que muitos produtos e empresas estão usando direta ou indiretamente.
Veja Como implementar e modificar políticas para controle de acesso baseado em função no Ubuntu Linux?
No RBAC, não existe um usuário "root" real como normalmente se pensa. O que normalmente é considerado como "root" torna-se uma função e você não precisa conceder permissões de função para instalar o software.
No entanto, a implementação do RBAC não é trivial e, no final, você ainda precisa ter pelo menos alguns administradores de sistema que tenham acesso total a tudo. Alguém precisa ter acesso a tudo para configurar as funções do RBAC.
Na minha experiência, o RBAC só é realmente útil para grandes organizações com muitos administradores de sistema que têm que fazer coisas muito diferentes.
Nos EUA, o RBAC também pode ser necessário para atender aos requisitos legais impostos por itens como HIPAA e Sarbanes-Oxley .
No seu caso, o RBAC quase certamente não vale a pena a sobrecarga administrativa.
Mas certamente é possível impedir que o "root" instale o software.