Are there any safeguards against this kind of behavior?
Oltre a proteggere il server il più possibile? No. E non è nemmeno necessario cambiare le chiavi o qualsiasi altra cosa. La radice può fare tutto, anche mimando Bob senza modificare le chiavi.
Fail2ban, Snort, SeLinux, ecc. ecc. ... usali in modo appropriato.
...
Per root accessi , es. non qualche bug che permetta di fare qualcosa di specifico, e non necessariamente qualcuno al di fuori dell'azienda ... se sei molto preoccupato per il personale IT malevolo, ecc., una sorta di sistema di "peer review" potrebbe aiutare (e le telecamere, porte in acciaio, senza porte USB, senza viti, hardware autodistruggente (sì) ... beh, devi sapere quanto sono affidabili i tuoi colleghi).
Ogni macchina segnala accessi di root a un'altra macchina indipendente (prima che la persona che effettua l'accesso possa prevenirla, e se il reporting fallisce, l'accesso fallisce). E ogni accesso deve essere approvato e supervisionato da un secondo dipendente. Un accesso registrato senza due firme sul modulo significa che c'è una violazione, tutto da allora non è più affidabile.