Isso é quase (mas não teoricamente) impossível. Uma vez que o usuário tenha acesso sudo que não seja altamente limitado, eles terão acesso root - por exemplo, rodar sudo / bin / bash criará um shell bash com privilégios de root e poderá bipassar quaisquer mecanismos colocados por root.
A maneira teórica de fazer isso seria criar regras de sudo que permitam ao usuário fazer praticamente qualquer coisa que deseje / precise, exceto a capacidade de executar todos os comandos que podem acessar este recurso - quase certamente não é possível fazer na prática.
Você também pode usar o SELinux ou o Apparmour para limitar a capacidade de acessar diretórios - mas, novamente, alguém com root pode desfazer isso.
Você pode frustrar o acesso ao recurso especificado mantendo-o criptografado e montando o volume criptografado - espero que isso não impeça o acesso, mas evitará o acesso casual. [Percebo que quando uso o FUSE para montar remotamente um sistema de arquivos como usuário, apenas o usuário que montou o sistema de arquivos pode acessá-lo. É claro que, como eu sou root, posso simplesmente voltar para esse usuário e ver os arquivos - e sem dúvida há outras maneiras de fazer isso. Além disso, se o recurso não for montado quando o usuário tiver acesso root e a chave não estiver armazenada na memória, ele também não poderá obtê-lo.