т.е. по сути задача сводится к следующему. система устанавливается, настраивается, создаются необходимые пользователи. Потом желательно сделать так, чтобы пароль рута нельзя было сменть (=запретить руту писать в passwd/shadow). и вообще, можно ли запретить руту выпольнять какие либо функции (запись чтение). Или это возможно только на уровне ядра (кто слышал про подобные вещи ?). А то было-бы очень удобно на сой взгляд. Например, в ядро в компилена подобная функция, запрещающая писать руту куда бы-то ни было, кроме скажем /tmp /var/ + читать, запускать, что-то определенное - которая включается, когда система запущена в многопользовательском режиме. тогда даже если злоумышленник получит рута на машине он ничего не сможет сделать.