Você pode remover permissões de execução para os binários que você não deseja que o usuário execute. Crie um novo grupo, altere as permissões de execução ( chmod go-rwx ) e adicione o usuário desejado ao grupo. (Isso é semelhante a como apenas determinados usuários podem usar o comando sudo ).
Dependendo do que você deseja alcançar, chroot jail também pode ser útil. Caso você esteja planejando ter uma configuração semelhante a um quiosque, existem ferramentas de bloqueio para o KDE (Kiosk Tool) e para o GNOME (Sabayon). Se o Firefox é tudo que você quer permitir, confira o Webconverger. No caso de você estar planejando configurar uma rede de quiosque, use o Google Libki. Se a segurança é primordial, você também pode refinar as capacidades de programas individuais usando o AppArmor ou o SELinux.