利用するのがデスクトップ機（それなりに内部空間に空きがある）だとして、

1. Linux の iso イメージをもとにブータブル USB を作成します
2. USB を「筐体内の USB ピンヘッダ」に付けます（変換コネクタは自作PC店などで手に入ります）
3. 筐体を不用意に開けられないように鍵をかけるなど保護します
4. BIOS/UEFI の設定を弄って、USB ブートするようにします

これならなんとかなるかな？　メーカー製品の場合 2. が可能な USB ピンヘッダがない可能性もありますが、自作機なら問題はないでしょう。上記の構成なら HDD/SSD も不要ですから多少は安くなります。

サーバーが別に用意できるならネットワークブートにする方がよいかも知れませんが、起動が遅いかな。

root権限が与えられる(または脆弱性をついて奪われる)ことが前提と言うことでしょうか？CDのようなリードオンリーメディアも使用不可、ネットワークブートもダメ、管理サーバー必須のシンクライアントなんてもってのほかとなるとかなり厳しいです。/をroでマウントなどの工夫をしても、root権限があれば/dev/sda1等を直接操作できてしまうので、通常の方法では無理だからです。

手段としては仮想環境しかないと思います。VirtualBoxやDocker等を使って、その上のゲストしか触らせないとすれば、たとえゲストのrootがいくら奪われようが、ホストに影響を与えることは出来ません(ただし、Dockerはdocker.socket経由でホストのrootを取れる場合がありますので、設定には注意が必要です)。書き込みなどの変更は毎回破棄して、いつも同じイメージを起動することも出来ます。

この方法の問題は「ユーザーにゲストしか触らせない」をどうやって実現するかです。自動ログイン+仮想マシン起動+仮想マシンの画面固定とかまでは出来そうですが、

• 起動までの間はホストの画面であり、そこにつけいる隙を与える。
• そもそもゲストしか触れなくなれば、ホストのメンテナンスやゲストイメージの交換すら出来なくなる。

といったところから、たぶん無理です。

ということで、ホストに触らせないという方法は諦めて、ホストはWindowsやMacにして、HD革命、WinKeeper、瞬快、Deep Freeze(これだけMacも可能)等でホストはホストとして同時に守るとしたほうがいいと思います。

なお、実際に、私の所では、

• ホスト: Windows 10
• 環境復元ソフト: 瞬快
• 仮想環境ソフト: VirtualBox
• ゲスト: Ubuntu

と言う構成のマシンを運用していますが、Ubuntuがめちゃくちゃ遅いと言うことは無かったです。(ただし、ディスクはSSDを使っています。HDDだと遅くて使い物にならない可能性があります。)

やったことはありませんのでアイデアレベルですが

1. LVMでスナップショットをとって、使い終わったら スナップショットの時点に戻す
2. /home などを tmpfs で作成して RAM Disk化する

一般ユーザが使用する前提なら、一般ユーザの書き込み権限があるディレクトリをOS起動時(rc.localなど)に初期化するスクリプトでも書けばいいんじゃないでしょうか

その他で思いつくのは
livecdを作成して毎回cdboot、またnetworkboot(pxeboot)をする
仮想環境を作成し、毎回同じイメージから起動する。
ですかね。