Mas se vc autorizar apenas o update-manager (que, ao que eu saiba, é outro programa), somente atualizações poderão ser feitas.
Na verdade o update-manager chama o synaptic para efetuar as atualizações, porém alguns argumentos são gerados dinamicamente, até fiz alguns testes usando regex no sudoers, porém não obtive sucesso.
Mas solucionei o problema liberando as atualizações via aptitude, e não usando o synaptic, o update-manager até avisa que possui atualizações a serem feitas, porém o usuário que não é admin não consegue efetuá-las, sendo assim o usuário pode atualizar o sistema via linha de comando.
Foi adicionada a seguinte linha no arquivo /etc/sudoers:
ALL ALL=PASSWD: /usr/bin/aptitude update, /usr/bin/aptitude safe-upgrade, /usr/bin/aptitude dist-upgrade
Essa linha permite qualquer usuário do sistema efetuar atualizações, porém o mesmo não tem permissão de instalar ou remover pacotes.
Sem mais.
Grato.