O que determina quais comandos do Linux requerem acesso root?

É principalmente uma questão do que a ferramenta ou programa faz . Tendo em mente que um não-superusuário só pode tocar nos arquivos que possui ou aos quais tem acesso, qualquer ferramenta que precise ser capaz de colocar os dedos em tudo exigirá acesso de superusuário para fazer o que faz. Uma amostra rápida de coisas que podem exigir acesso de superusuário inclui, mas não está limitada a:

• Abrindo um soquete TCP de escuta em uma porta abaixo de 1024
• Alterar as configurações do sistema (por exemplo, qualquer coisa em /etc)
• Adicionando novas bibliotecas acessíveis globalmente ( /libe /usr/lib) ou binários ( /bin, /usr/bin)
• Tocar em qualquer arquivo que não pertença ao usuário que está fazendo o toque e que não tenha um modo suficientemente permissivo
• Alterar a propriedade dos arquivos de outros usuários
• Acelerando as prioridades do processo (por exemplo renice)
• Iniciando ou parando a maioria dos serviços
• Configuração do kernel (por exemplo, ajustando swappiness)
• Ajustando as cotas do sistema de arquivos
• Gravando em discos "cheios" (a maioria dos sistemas de arquivos reserva algum espaço para o usuário root)
• Executar ações como outros usuários

No linux, os privilégios de root foram divididos em um ponto em "capacidades", então você pode obter uma lista completa dos privilégios especiais de root examinando a documentação: man 7 capabilities.

Para responder à sua pergunta, um comando exigirá a execução como root quando precisar de um desses privilégios e seu executável sem script não tiver o recurso relevante definido em seus metadados de arquivo (por exemplo, se um script python exigir o recurso, o recurso precisaria estar no interpretador python especificado na linha shebang).

Observe que alguns comandos que precisam de acesso root não precisam de algo como sudoporque eles têm o bit SUID definido em seu executável. Este bit faz com que o executável seja executado como o proprietário (geralmente root) quando executado por qualquer pessoa que tenha acesso de execução. Um exemplo é sudoa própria mudança de usuários é uma ação privilegiada que ele precisa fazer.

EDIT: Observo pela sua pergunta que você pode ter a ideia de que pode determinar se um comando precisará de acesso root antes de executá-lo. Esse não é o caso. Às vezes, um programa pode exigir privilégios de root e outras vezes não, e isso pode ser uma decisão tomada pelo programa devido aos dados fornecidos durante o tempo de execução. Tomemos, por exemplo, chamando vim, assim sem argumentos e, em seguida, pressionando e colando uma série de teclas, dizendo-lhe para gravar algo em um arquivo que não tem permissão para gravar, ou talvez executando outro comando que exija privilégios de root. Nada sobre o comando antes da execução poderia indicar que eventualmente exigiria acesso root. Isso é algo que só pode ser determinado no momento em que tenta fazer algo que o exija.

De qualquer forma, aqui estão alguns exemplos da página de manual referenciada dos privilégios de root:

• Faça manipulações arbitrárias de UIDs de processo (setuid(2), setreuid(2), setresuid(2), setfsuid(2));
• Ignore as verificações de permissão de leitura, gravação e execução de arquivos. (DAC é uma abreviação de "controle de acesso discricionário".)
• Ignore as verificações de permissão para enviar sinais (consulte kill(2)). Isso inclui o uso da operação ioctl(2) KDSIGACCEPT.
• Execute várias operações relacionadas à rede:
  • configuração de interface;
  • administração de firewall IP, mascaramento e contabilidade;
  • modificar tabelas de roteamento;
• Vincule um soquete às portas privilegiadas do domínio da Internet (números de porta menores que 1024).
• Carregar e descarregar módulos do kernel (consulte init_module(2) e delete_module(2));
• Definir relógio do sistema (settimeofday(2), stime(2), adjtimex(2)); definir o relógio em tempo real (hardware).
• Execute uma variedade de operações de administração do sistema, incluindo: quotactl(2), mount(2), umount(2), swapon(2), swapoff(2), sethostname(2) e setdomainname(2);
• Use reboot(2) e kexec_load(2).
• Use chroot(2).
• Aumente o valor de nice do processo (nice(2), setpriority(2)) e altere o valor de nice para processos arbitrários;

Acho que é de acordo com a identidade do usuário verificar as permissões, não de acordo com a ordem de divisão das permissões. Arquivos e usuários são privilegiados e os comandos não devem ser divididos.