Bem, não é uma boa ideia, mas é possível. Como alguém aqui apontou, você não pode impedir que o root seja o deus do computador, mas você pode modificar o programa "su" para pedir senhas. Ele pode impedir que o root faça um novo registro em outras contas, a menos que ele compile sua própria versão do su e o use.
Primeiro, você precisará de um compilador para poder reconstruir o su. Como uma raiz, execute:
apt-get install build-essential
Em seguida, baixe e prepare os GNU Coreutils :
ftp://ftp.task.gda.pl/pub/gnu/coreutils/coreutils-8.13.tar.gz
tar xvf coreutils-8.20.tar.xz
cd coreutils-8.20
./configure
Agora, acesse o diretório src e localize o arquivo su.c . Na linha 223, você encontrará:
if (getuid () == 0 || !correct || correct[0] == 'if (!correct || correct[0] == 'cp src/su 'which su'
')
')
Altere para:
apt-get install build-essential
Agora, de volta ao diretório coreutils-8.20 , execute o make. A compilação pode demorar muito tempo. Uma vez feito isso, sobrescreva o binário su atual com o novo:
ftp://ftp.task.gda.pl/pub/gnu/coreutils/coreutils-8.13.tar.gz
tar xvf coreutils-8.20.tar.xz
cd coreutils-8.20
./configure
E novamente - você está fazendo errado.