Как пользователь root может создать файл / каталог, который сам не может быть записан?

Обычные пользователи могут chmodфайлы, чтобы сделать их недоступными, как

evgeniy@ubuntu:~$ touch test
evgeniy@ubuntu:~$ chmod 444 test
evgeniy@ubuntu:~$ echo 'test' > test
bash: test: Permission denied

Может ли что-то подобное быть смоделировано для пользователя root?

chattr +i *не позволит даже учетной записи root вносить изменения в файлы в каталоге (до chattr -i *запуска).

Согласно комментариям Slartibartfast, несколько вещей, которые вы должны знать о chattr и неизменном атрибуте:

1. Неизменны бит предотвратит файл от удаления, переименования связаны, или записи; использовать lsattrдля отображения атрибутов почти так же, как lsотображает владельца и разрешения
2. Вы можете предотвратить отключение неизменяемого бита (даже с помощью root), изменив CAP_LINUX_IMMUTABLEфлаг - для этого вы захотите установить libcap , но это только справедливое предупреждение о том, что возможности плохо документированы (в лучшем случае)

SELinux можно использовать, чтобы пометить файл как недоступный для записи пользователем root в текущем домене и роли пользователя.