Задача: на боевом сервере необходимо выполнять левые не проходящие никакой проверки пользовательские программы (которые могут быть и вредоносными). Единственное, что им необходимо обеспечить - стандартный ввод/вывод. Запись в файл/операции с сетью нужно отрубить, возможность испортить чужую память - тоже.
Как это сделать? Работающее (но, как оказалось, неприемлимое по производительности) решение было плодить толпы openvz гостей - по штуке на каждую пользовательскую программу. Альтернативы? Apparmor какой-нибудь с этим справится?
да, пользовательские программы могут быть написанны на всяких низкоуровневых сях