Во-первых, можно указать запуск Firefox ВМЕСТО графической оболочки. Однако нужно учесть возможности функций "Открыть" и "Сохранить", позволяющие выполнять множество действий с деревом каталогов.
Во-вторых, все адреса, кроме нужного сайта, можно ограничить через прозрачный прокси либо на уровне файрволла
Прописать сайт в /etc/hosts, указанный IP добавить в разрешающее правило iptables, а затем средствами DNS периодически проверять, не изменился ли IP сайта
В-третьих, нужно помнить, что комбинацию клавиш CRTL-ALT-Fx никто не отменял. Как следствие, пароль на логин должен быть подлиннее