Existem apenas 3 (que eu posso pensar prontamente) maneiras de negar acesso root a um arquivo (em sistemas de arquivos normais).
- O sistema de arquivos é montado em somente leitura.
- O arquivo é imutável (
chattr +i
). O Root é capaz de alterar os atributos e remover o sinalizador imutável, mas este é um processo manual, pois os aplicativos não fazem isso automaticamente. Isso é comumente usado para evitar a gravação acidental de arquivos.
- O arquivo é um executável em execução. O kernel impede a modificação de qualquer executável que esteja atualmente em execução. Você pode desvincular (
rm
) do arquivo, mas não pode modificar seu conteúdo.
Agora, há muitas outras maneiras de negar o acesso de gravação a um arquivo ao usar o root. Os sistemas de arquivos de rede, como o NFS e o CIFS, podem negar o acesso root se estiverem configurados para isso no servidor. Alguns outros sistemas de arquivos especiais, como o mvfs do IBM Rational ClearCase, também podem fazer isso.
No entanto, com tudo isso dito, não há arquivos padrão que o root não possa gravar. Uma distribuição pode definir arquivos com a bandeira imutável, mas não é padrão.