На вашем месте я оставил бы чтение-запись карты с интерфейсом USB (поскольку это имеет большой смысл), но я установил разделы Вашей машины на только для чтения. Если Вы блокируете вниз X достаточно (препятствуйте тому, чтобы любой открыл оболочку через xterm, например), то это должен быть кусок пирога.
Некоторые примечания: смонтировать / var как электронный диск? используйте noexec для предотвращения exection двоичных файлов
Могло бы быть легче просто chroot, выполняют браузер, с картой с интерфейсом USB, смонтированной под chrooted тюрьмой.
http://www.tuxfiles.org/linuxhelp/fstab.html
должностное лицо и noexec должностное лицо позволяют Вам выполнить двоичные файлы, которые находятся на том разделе, тогда как noexec не позволяет Вам сделать это. noexec мог бы быть полезен для раздела, который содержит двоичные файлы, которые Вы не хотите выполнять в своей системе, или это не может даже быть выполнено в Вашей системе. Это могло бы иметь место раздела Windows.
Если Вы не управляете картами с интерфейсом USB, только для записи не собирается работать хорошо. Вы собираетесь закончить со всеми видами проблем поддержки и ворчите своими пользователями.
На вашем месте я установил бы киоски, чтобы работать как немые терминалы LTSP и запустить пользователей с абсолютно чистой среды с каждой сессией. Существуют все виды способов сделать это... мой колледж имел лабораторию XTerminal, работающую на некотором древнем Unix назад в 1994.