Pelo que entendi, os usuários dos quais você está falando têm acesso root (já que podem desmascarar um serviço). Neste caso não há nada que você possa fazer. Se você quiser que seus usuários não habilitem um serviço, não lhes conceda acesso privilegiado.
Sobre o seu primeiro ponto, o serviço firewalld é definido em /usr/lib/systemd/system/firewalld.service
.