Я не разбирался.
Вроде с помощью SELinux реально.
А с ACL.... Чисто теоретически возможно. Самый банальный вариант - на раздел /usr (кажется там лежат всякие фаерфоксы и прочее) рекурсивно ставишь для своей барышни с помощью setfacl права только на чтение (ну или нулевые - тут надо проверить, а то мало-ли) + такие же по-умолчанию, дабы новые установленные программы также были заблокированы.
А потом с помощью того же setfacl открываешь нужные проги.
ОПЯТЬ ЖЕ, это всё чисто теоретически, но вроде должно работать.