Eu manteria isso fora do homedir do usuário. Isso é apenas implorar para as pessoas cortarem em pedaços. Essa parte é simples o suficiente, você pode simplesmente adicionar um novo arquivo para /etc/X11/Xsession.d/
(por exemplo, /etc/X11/Xsession.d/90-confidential
com o conteúdo:
if [[ 'groups | grep aduio' ]]
then
exec confidential -host "ip" -name $USER &
fi
Isso não está imune a ser trabalhado. Ele ainda está rodando como o usuário (assim eles podem finalizá-lo) e eles poderiam destruir sua inicialização do X (porque tudo é executado como usuário). Você provavelmente poderia bloquear tudo isso, mas é um grande passo.