Да, root может:
$ echo Hello you\! > file
$ chmod 600 file
$ ls -l file
-rw------- 1 terdon terdon 11 Feb 27 02:14 file
$ sudo -i
# cat file
Hello you!
В любом случае, даже если root не может читать ваши файлы как root, они всегда могут войти в систему, как вы, без пароль:
$ whoami
terdon
$ sudo -i
[sudo] password for terdon:
# whoami
root
# su - terdon
$ whoami
terdon
Итак, root
может сменить имя пользователя на любое другое, используя su
(или sudo -iu username
), и тогда он сможет делать что угодно совсем не так, как если бы они были вами.
Я думаю, что здесь происходит то, что ваше действие по умолчанию блокирует только целевой порт. Затем хост-нарушитель подключается к другим портам и запускает другие баны. Но поскольку хост уже забанен (, хотя и на других портах ), его нельзя снова забанить.
Решение состоит в том, чтобы изменить действие запрета, чтобы заблокировать все порты, а не только порты, нарушающие правила. По памяти ваше правило действия будет примерно таким
action = %(banaction_allports)s[name=%(__name__)s-tcp, port="%(port)s", protocol="tcp", chain="%(chain)s", actname=%(banaction)s-tcp]