samba

У гостей самбы права ограничиваются дважды:
1) само собой права пользователя unix. nobody -- это никто, соответственно если вы ничего не меняли у него никуда прав на запись нет.
2) разрешение на запись к шаре вообще устанавливаемое в настройках самбы этой шары.

В связи с этим, если хочеться запретить доступ на запись вообще, проще, конечно, сделать шару read only (что вроде как установлено по умолчанию).
Однако, если хочеться ограничить доступ более гибко, а не глобально для всех пользователей, то необходимо в самбе доступ для всех дать и уже расставлять права unix-пользователей.

так гость не может запустить какую-нибудь прогу на моем компе (например, убить другой сервис, запущенный под nobody)?

Нет, через самбу можно только читать/писать если разрешено, кроме того можно запустить что-либо на __своей__ собственной машине (то есть если на exe-шник есть доступ на чтение, то можете считать что он считывается и тут же запускается).

Запуск чего либо на машине сервера (гостями на вашей машине) не предусмотрен спецификацией протокола. (для этого служит ssh, но это совсем другая история).