Hát, nem állítom, hogy mindent értek abból amit írtál...
Nekem olybá tűnik, hogy ennek az általam nem teljesen értett dolognak nem kéne "bent" lennie a megoldásban, ahol kíváncsi root megtalálja-megpiszkálja, hanem egy külső szolgáltatásban helyezném el részben vagy egészben; olyanban, ahová nincs root accesse a használónak sose.
Azt gondolom, hogy nem érdemes keresni olyan megoldást, amiben a root mégsem root teljesen. Ugyanis a root teljesen root.
Persze, lehet monitorozni, időben korlátozni-munkafolyamattal hozzáférést adni stb. De amikor root, akkor root.
Üdv,
Marci