To jest bardzo szeroki temat, ale najprościej rzecz ujmując robi się odpowiednie zabezpieczenia na poziomie kontekstów SELinux na roota który będzie w takich obostrzeniach, które nie pozwolą mu na modyfikacje, natomiast trzeba wtedy pamiętać o stworzeniu dedykowanego konta które te modyfikacje może robić.