Привет, уважаемые!

Как можно запереть неблагонадежное приложение в $HOME специально заведенного пользователя, чтобы оно не могло дотянуться для данных не для чужих глаз?
Допустим, что не хочется с внешним миром делиться пиратским контентом, компрометирующими данными, эротикой с тентаклями, свидетельствами уклонения от уплаты налогов, чертежами ракет и т.д.
При этом приходится пользоваться несколькими приложениями, такими как skype, которые небезосновательно можно считать враждебным ПО (особенно в свете последних событий, когда windows 10 может шариться по пользовательским данным и блокировать запуск пиратских приложений).

Будет ли удовлетворительным решением запретить свой $HOME для other вообще и запускать всякую вражину вот таким макаром:

$ sudo -H -u nobody bash -c 'echo "I am $USER, with uid $UID. I live in $HOME"'
I am nobody, with uid 65534. I live in /nonexistent

?

Сейчас всё untrusted ПО стоит в виртуальной машине. Первое, что пришло на ум — выселить его в "песочницу". Но есть неудобства, например, уведомления о сообщениях так не увидеть.
Другое опасение: в процессе установки/обновления вражина получает root и может доступиться к файловой системе, куда я не хочу пускать посторонних.

Здравствуйте, crawling-web-crawler, Вы писали:

CWC>Будет ли удовлетворительным решением запретить свой $HOME для other вообще и запускать всякую вражину вот таким макаром:
CWC>

CWC>$ sudo -H -u nobody bash -c 'echo "I am $USER, with uid $UID. I live in $HOME"'
CWC>I am nobody, with uid 65534. I live in /nonexistent
CWC>

?
Имхо достаточно, но можно пойти дальше и прикрутить еще chroot. А можно и вот так