Como limitar o acesso do usuário aos aplicativos selecionados?

Dê a eles uma conta de usuário separada sem privilégios administrativos. Se eles não precisarem salvar coisas além da duração de uma sessão, uma conta temporária de convidado será suficiente.

Se você realmente quiser restringir o acesso a aplicativos para alguns usuários, há algumas coisas que me vêm à mente. Todos eles envolvem uma conta de usuário separada e nenhum parece realmente satisfatório para mim.

• Se você quiser apenas ocultar a diversidade e a complexidade para não confundir os usuários, substitua todos os iniciadores de aplicativos "desnecessários". Algo como o seguinte script de shell não testado :

  cp -R {/usr,~/.local}/share/applications
  find ~/.local/share/applications -name \*.desktop -exec sed -i -e '/^NoDisplay=/d;/^\[Desktop Entry\]$/a NoDisplay=true' \{\} +
  

  Em seguida, exclua os iniciadores dos aplicativos permitidos em ~/.local/share/applications . Você pode fazer coisas semelhantes para os tipos MIME que você não deseja que eles abram (com alguns aplicativos).

• Escreva algumas regras de apparmor que proíbem que os "pais" do usuário executem qualquer coisa, exceto os aplicativos permitidos. Isso é potencialmente difícil, porque muitos aplicativos dependem de programas externos e scripts de shell, e alguns têm seus executáveis binários reais em algum lugar em /usr/lib . Pode funcionar para um conjunto muito limitado de aplicativos.

  Um conjunto sensato de programas para permitir seria material dos pacotes "coreutils", "bash", "python", "perl" e quaisquer dependências de aplicativos permitidos.

  Eu também desabilitaria os iniciadores de aplicativos, conforme explicado acima, para não ter um monte de iniciantes disfuncionais no painel, no encaixe, no menu do aplicativo ou em qualquer lugar.