Admin - melkein root?

Miten pystyisi luomaan linuxiin tunnuksen admin, ja määrittelemään sen niin, että sen käyttäjällä on oikeus 99,9%:iin kaikista tiedostoista ?

Käsittääkseni root -käyttäjällä on aina ja ehdoitta pääsy 100%:iin tiedostoista.

Siksi, jos halutaan tunnus, jolla on oikeudet 99,9%:iin tiedostoista, niin ilmeisesti melkein kaikki tiedostot, joiden omistajana on root, pitäisi muuttaa niin, että omistajana onkin admin, poikkeuksena tietysti ne tiedostot, joille ei haluat antaa admin -käyttäjälle oikeuksia.

Vastaavasti pitäisi ilmeisesti luoda ryhmä admin, ja antaa kaikille normaalikäyttäjien tiedostoille sellaiset oikeudet, että admin -ryhmällä on oikeus ainakin lukea niitä.

Ja admin -käytääjälle tietysti oletusryhmäksi admin.

Saisiko tämän jotenkin toimimaan ?

Esim. niin, että buuttaamatta konetta vaikkapa knoppix -CD:llä ei root -tiliin pääse käsiksi, mutta admin -käyttäjänä voi kuitenkin hoitaa kaiken normaalin ylläpidon.

Tuollaiseen linux -järjestelmäänhän voi sitten laittaa muutamia ohjelmia jotka suoritetaan setuid root, ja niiden tiedostot omistaa root, oikeuksin 500 (itse ohjelma) ja 600 (ohjelman käyttämät luottamuksellista tietoa sisältävät tiedostot, sisältää esim. salausavaimia ja salasanoista laskettuja kryptografisesti vahvoja tiivisteitä, tallaisia kai ainakin olivat md5:set, jotka md5 -heikkoiuksien takia kai nykyisin pyritään korvaamaan sha -tiivisteillä?).

Turvallisuuden maksimoimiseksi systeemi voisi toimia niin, että tietyt avaintiedot ovat vahavasti salattuja, ja niihin pääsee käsiksi ohjelma, joka pitää salausavaimet ram -muistissa, mutta ei tallenna niitä sellaisenaan tiedostoon.

Tuollainen ohjelma voisi toimia omalla käyttäjätunnuksellaan, mutta niin, että sen käynistää root -oikeuksin toimiva toinen ohjelma, joka ennen tuon ohjelman käynnistystä kysyy salasanan, varmistaa sen tuosta vain root:in luettavissa olevasta tiedostosta ja jos se on oikein, käynnistää tuon toisen ohjelman ja välittää sille salausavaimen.