OBSERVAÇÃO: se estiver pensando nisso porque acha que seu sistema foi invadido ou algo ilegal está acontecendo, pare de ler isso e pesquise usando palavras-chave " linux coletando provas forenses ".
Existem algumas etapas especiais que você deve seguir se precisar "congelar" o estado de um sistema para obter provas legalmente vinculantes, e revogar permissões de arquivo não é a ferramenta certa para esse trabalho .
Mas se for algo menos sério do que isso, continue a ler ...
Em vez de modificar permissões de arquivo, você provavelmente deve pensar em parar as sessões do usuário e desativar outros serviços de rede.
Crie um arquivo chamado /etc/nologin e nenhum novo login será aceito, exceto pelo usuário root . Em seguida, expulse todas as sessões existentes, de preferência usando o sinal HUP para que os editores e programas similares tenham a chance de salvar seu trabalho uma última vez antes de morrer.
(Caso contrário, você descobrirá que um de seus usuários teve uma sessão de longa duração e acabou de perder um longo documento ou uma semana de dados de pesquisa, e ficará muito insatisfeito com suas ações.)
Mas se você deve bloquear instantaneamente as operações de gravação de todos os usuários, que tal remontar o sistema de arquivos que contém os diretórios home dos usuários no modo somente leitura? mount -o remount,ro /home