Você tem várias opções, é realmente um equilíbrio de tempo / esforço versus o quanto você desconfia de seus alunos.
A maneira mais segura seria rodar uma máquina Linux virtual, mas é provavelmente desnecessária se a única finalidade da máquina for testar.
Com as permissões corretas para o restante de seus arquivos, você pode simplesmente criar um "Aluno" e dar a ele um único diretório para o qual ele tenha permissão. Eles não terão permissão para editar nenhum arquivo do sistema e quaisquer ferramentas potencialmente destrutivas como o gparted exigirão o sudo (não incluí-lo em sudoers).