Есть необходимость иметь графическое не полностью доверенное приложение в контейнере и запускать пару копий от разных пользователей не перелогиниваясь, чтобы оно не имело доступ ни к хомяку, ни ко всей ФС, ни к сетевым интерфейсам и моему реальному ip. Пусть свои настроечки хранит, и никуда не лезет.
Это планируется делать в виртуалке, где есть и другие задачи. Запускать ещё одну машину только для одного приложения, кажется неразумным расходом ресурсов и времени. Сразу в голову приходит использовать контейнер. Нашёл разные инструкции для запуска из контейнера Docker с расшариванием X11 сокета хоста (например, это), а так же из lxc контейнера (например, такая)
Какой способ будет наименее требователен к ресурсам (т.к. запускается уже на виртуалке) и оптимальным решением?
Знаю про firejail, но мне не хотелось бы настраивать ещё из-за него apparmor, да и вообще, не очень понравился.