Потыкал я сисколы pledge() и unveil() в openbsd на реальных приложениях. Первый запрещает сисколы, второй фильтрует файлы и директории, доступные программам. Так вот — это реально мать его просто. Указываешь список разрешенных действий (после парсинга конфигов и опций) и погнали. Отключить нельзя, откатить нельзя. В то же время в лялехе уже пять разных вариантов sandbox и docker, и все это добро нужно адаптировать под каждый дистр и программу. Вот почему так?