Если у него будет доступ только на чтение к /bin, /dev, /lib, /sbin, /usr, etc... — как он там что-то поломает??? Никсы уже 30 лет так устроены, все юзеры могут читать почти всю файловую систему, и ничего. По всему миру так сделанные системы работают, я думаю, и в библиотеке прокатит.
Собственно, в библиотеку можно установить просто систему, и добавить туда еще одного пользователя без прав администратора. Он ничего не сможет сломать, кроме своего домашнего каталога. Независимо от знания своего пароля.