Bem, o que você está pedindo não é tão simples quanto você imagina. Para rodar o gthumb você precisa logar e executar programas adicionais em segundo plano, um front end gráfico (X) no mínimo. Você pode usar um front end gráfico mínimo, como o fluxbox.
Para ser honesto, o IMO, a opção mais fácil, pode ser usar a conta de convidado. Isso tem a vantagem de ser protegido pelo apparmor, embora permita mais acesso do que você deseja.
Se isso falhar, você pode usar um perfil apparmor personalizado ou usar um chroot / jail. Essas opções lhe darão mais controle, mas às custas de você ter que identificar todos os aplicativos e bibliotecas subjacentes que você precisa para permitir a execução de um front end gráfico e gthumb.
Veja: link