Насколько могут быть ограничены действия пользователя?

Мне нужно использовать сервер (Linux, Ubuntu) 'S' в качестве моста между клиентами и другими локальными серверами (LS), которые предлагают ряд услуг, таких как доступ к БД через Интернет или приложения, которые должны работать на них (другие LS),

Реальные примеры:

Мне нужно, чтобы клиенты подключались к S через SSH, а затем они должны иметь возможность запускать firefox для доступа к LS1, чтобы управлять базой данных через Интернет.

Мне нужно, чтобы клиенты подключались к S через SSH, а затем они должны иметь возможность работать в приложениях S Java Dsktop, которые подключаются к внешним серверам для выполнения других задач.

Вкратце: мне нужно, чтобы клиенты подключались к S, просто чтобы делать то, что от них ожидают (некоторые из них просто должны открыть экземпляр firefox, другие должны иметь возможность выполнить java.jar и т. Д.), И, надеюсь, они не больше ничего не делай

Что касается подключений, я могу легко использовать брандмауэр S, чтобы ограничить их разрешением подключений только к LS, но, поскольку некоторым клиентам нравится экспериментировать на других компьютерах, я хотел бы также ограничить их действия помимо простой команды "$ firefox" или msgstr "$ java -jar someapp.jar".

Я использую Ubuntu 14.04 в качестве ОС на серверах. Очевидно, что я не могу ограничить учетные записи "просто запустить firefox" или "просто запустить этот.jar", но мне интересно знать следующее: насколько я могу ограничить действия этих учетных записей?