Cely bych to hodil na nejaky RO medium (treba SD karta) a mas vystarano.

Média přepínatelná na read-only režim nejsou vždy k mání, ale jde to relativně snadno obejít. Například souborový systém může být SquashFS, který je přitozeně read-only (jeho modifikace je extrémně náročná, navíc šetří místo a na pomalých médiích zrychluje načítání), zatímco věci jako /var, /tmp a některé soubory z /etc jsou na TmpFS, případně se použije union mount typu AuFS, jako to použíbvají některá LiveCD. Jádro může navíc být na oddílu, pro který nemá v sobě podporu, takže není možné ho jednoduše přepsat (např. já používám Ext2 a EXTLINUX).

Pro maximální paranoiu je ještě možné zamezit přístup k zdrojovému zařízení úplně - stačí osadit dostatek RAM, při startu vše načíst do paměti a hned poté zdrojové zařízení odpojit přes SCSI rozhranní v /proc. Pokud se ještě upraví jádro tak, aby nefungoval příkaz add (tj. příslušnou část zakomenotovat), nebude možné k disku už přistupovat, s vyjímkou modifikace běžícího jádra nebo přímého přístupu přes porty.

Na ostatnich terminalech muzes zakazat login.

Nebo na nich vůbec nepouštet procesy *getty (u klasického initu upravitelné v /etc/inittab).

No a pak je stejne jen otazkou casu nez nekdo objevi ,jak z browseru spustit xterm.

Stačí xterm a spol. v produkčním systému nenechávat a u shellů upravit konfiguraci, aby neumožnili interaktnivní spuštení, případně použít jako /bin/sh shell, co interaktivní spuštení ani neumožňuje. Stejně tak omezit všechny ostatní interpretery, pokud jsou spustit interaktivně a nejsou nutné na funkčnost.