Es importante recordar que en enero se mencionó que una vez que alguien tiene acceso a la máquina, es muy difícil asegurarla por completo.
Puede encontrar información sobre la protección de contraseña de grub2 y el modo de recuperación de protección de contraseña aquí https://askubuntu.com/a/78051/71679
Alguna información adicional que puede ser de interés en su caso sería mirar el programa de endurecimiento Bastille https://help.ubuntu.com/community/BastilleLinux y aquí http://www.bastille-unix.org/Reporting/assessment -report.html
También te puede interesar la versión edubuntu que incluye LTSP. En un entorno de cliente ligero LTSP, todo el software para estaciones de trabajo se origina en el servidor LTSP. Ya sea que esté reutilizando PC de escritorio antiguas o implementando nuevos dispositivos de cliente ligero. LTSP le permite mantener toda su red de computadoras desde un único punto de control; desde la imagen del sistema operativo en los clientes ligeros a través de la autenticación de usuarios y el almacenamiento de archivos. Al reducir su huella de software con LTSP, las obligaciones de mantenimiento y soporte se reducen en comparación con las soluciones informáticas tradicionales de PC de escritorio.
edubuntu http://www.edubuntu.org/ y más información sobre LTSP http://www.ltsp.org