Você não pode conceder ao usuário acesso a "tudo, exceto alguns arquivos". Se eles puderem modificar a configuração do sistema, eles poderão alterar essas configurações e obter acesso total. Se eles puderem instalar serviços que são executados como root, eles poderão instalar um programa que lhes dará acesso total. Se eles puderem instalar programas que você executar, eles poderão instalar um programa que revelará seus segredos na primeira vez que você executá-lo.
Se você não confia em seus colegas administradores, não armazene nenhum segredo na máquina.
Coloque seus arquivos confidenciais e os serviços que precisam ser co-administrados em máquinas separadas. É claro que você pode usar máquinas virtuais ou contêineres, eles não precisam ser máquinas físicas separadas. Execute os serviços co-administrados em um contêiner de VM / e conceda ao administrador do seu colega acesso somente no contêiner de VM /.