No Ubuntu 16.04 ,
você pode configurar o arquivo access.conf de acordo com suas necessidades.
Primeiro, crie um usuário padrão (sem privilégios de administrador).
Em seguida, edite o arquivo /etc/security/access.conf e adicione uma linha que proíba quaisquer logins locais, exceto o tty que você definir.
No exemplo a seguir, o usuário com nome de usuário localuser pode efetuar login (na máquina local) somente a partir de tty1. 
- : localuser : LOCAL EXCEPT tty1
Agora precisamos ativar o arquivo access.conf .
Aqui está o truque sobre como ativar no Ubuntu.
Por alguma razão, quando eu testei isso no meu Ubuntu 16.04, configurando o arquivo padrão /etc/pam.d/login, (a linha pam_access.so já existe, e eu apenas descomentei) não funcionou.
Mas funcionou quando adicionei a linha em /etc/pam.d/common-account
Edite o arquivo e insira a seguinte linha abaixo pam_deny.so .
account required pam_access.so
Não é necessário reiniciar nenhum serviço. Basta efetuar logout e testar se o novo usuário pode efetuar login no Lightdm, no GDM ou em qualquer outro gerenciador de exibição que você tenha.