Корень будет иметь доступ ко всему, независимо от битов разрешения. Исключением является то, что корневой процесс не будет пытаться выполнить файл, если ни один из битов выполнения не установлен, а ограничения установлены SELinux.
Тем не менее, root по-прежнему сможет устанавливать нужные биты выполнения и изменять правила SELinux, поэтому вы ничего не можете сделать, чтобы предотвратить доступ root к вашим файлам.
Редактировать
Из "пути человека _разрешение"
On a traditional UNIX system, the superuser (root, user ID 0) is all-powerful, and bypasses all permissions restrictions when accessing files.
Вы можете использовать модуль pam_succeed_if
, чтобы пропустить другие модули PAM в стеке с учетом определенных пользовательских критериев. Например, вы можете создать группу noyubikey
и добавить в конфигурацию PAM следующее:
auth [success=1 default=ignore] pam_succeed_if.so quiet user ingroup noyubikey
auth required pam_u2f.so authfile=/etc/my_yubikeys cue
Обновлено, чтобы ответить на ваш вопрос:
could I use this to require a number of authentication methods, where any one of them are optional. sort of like "there are 3 possible authentication methods, but you need to use any 2 of them"
Это должно быть возможно сподстеком и пользовательскими элементами управления . Например. вам может потребоваться такой подстек:
[success=ignore default=1] # first module
[success=done default=1] # second module if the first one succeeded
[success=ignore default=die] # second module, if the first one failed
[success=done default=die] # third module now has to succeed
Примечание. :Элементы управления показаны только для ясности.
Вам следует использовать здесь подстек, потому что он изолирует действия done/die от остальной части вашего стека.