Открою большой секрет. В ОС UNIX не существует способа запретить пользователю сделать что-либо. Если ядро ОС в принципе допускает что-либо то выполнить данную операцию не есть проблема.
Все любители ограничить свободы пользователей должны уйти на винду и ограничивать там себя хоть до посинения.
Все атрибуты которые вы снимите с помощью разных графических утилиток и chmod обходятся в легкую. Я просто скачаю нужный тар-болл с сайта и пересоберу нужное приложение или что проще скопирую нужный бинарник в домашнюю директорию и проставлю на него нужные права. Только не надо кричать что вы и чтение запретите, чтение чего вы запретите? репозитария ubuntu.com? выкачиваете пакет и распаковываете из него бинарь.
Я здесь показал минимум, абсолютно очевидное решение... а сколько вам приготовят каверзных решений сами пользователи вы и представить не можете.
Люди, будьте людьми а не ...
Не надо никого ни в чем ограничивать. вам это аукнется так что мало не покажется.
Проблема, описанная вами решается организацией замкнутостью программной среды. И в GNU/Linux реализовать эту защиту в разы проще чем в ОС Windows.
В общем виде это выглядит так: пользователю разрешаем запускать только определенный набор приложений, и запрещаем ему туда писать.
На практике: все разделы куда он может писать монтируем с параметром noexec. Для пущей безопасности корень можно монтировать с параметром ro, но тогда возникает проблема обновления...
В принципе одного noexec на /home, /tmp, /var будет достаточно.
Выпады по поводу беплатности и т.п. даже комментировать не буду.
Ваш специалист по защите информации, Капитан Очевидность.