Apparmor e selinux podem ser usados para um controle refinado sobre as permissões de um processo. Isso inclui dar a um processo a capacidade de ler por não gravar em um arquivo.
Ofirejail é mais fácil para o usuário wrapper para isso.
A opção --read-only
pode ser usada para eliminar o acesso de gravação a um arquivo quando você gerar um novo processo - o que parece ser exatamente o que você deseja.