Crie um novo grupo, dê ao executável esse novo grupo e remova o bit executável (e também a permissão de leitura) para esse executável.
Este é um método comum para programas de "jogos", mas eu acho que é muito parecido com o que você está procurando.