# gpasswd -d user group
, где user - имя пользователя, group - группа, из которой вы хотите удалить пользователя.
Не помню как точно называются в Ubuntu группы, но в арче storage (флеш-носители) и optical (диски). Посмотрите /etc/group подробней. Если там нет тех групп, что я назвал, то там должны быть какие-нибудь cdrom, disk, flash или что-то подобное. После удаления пользователя из этих групп, он в теории не должен иметь доступа к сменным носителям.