Wenn ich mich richtig erinnere ist das was du willst mittels SELinux möglich. Zumindest kann man damit auch root einiges verbieten.
http://www.unix-open.de/O/151/Y/85317/default.aspx
Ansonsten: zum Thema verschlüsseln bist du nur auf Cryptoloop eingegangen, aber was ist mit GPG? Deine Passphrase wird root ja hoffentlich nicht kennen...