Защита Linux от пользователей root

Я ищу способ «защитить» операционную систему Linux от пользователей (root), которые потенциально могут вести себя неправильно.

Моя модель угрозы — это модель угрозы для студентов университета, имеющих доступ к корневому паролю настольных компьютеров (для настройки сети, установки пакетов и т. д.), но без какого-либо доступа к UEFI, и моя цель — иметь возможность восстановить система в исходное состояние после простой перезагрузки (без необходимости переустановки всей системы).

Мне кажется, что оверлеи с поддержкой оперативной памяти во всей системе, вероятно, допускали бы такое поведение, если бы я ограничил root доступом для чтения и записи на блочных устройствах диска и не позволил root «удалить» это наложение в так или иначе (может быть, с SELinux?).

Есть ли название для такого метода/настройки, имя, которое позволило бы мне найти ресурсы, посвященные этому, в Linux, например, в Ubuntu? Легко ли это достижимо, или было бы кошмаром думать обо всех ограничениях, которые необходимо будет ввести, например, в отношении устройств?