Есть такая тулза, позволяющая запускать процессы в песочнице и виртуализовывать доступ к ФС. Подскажите, как называется, не могу вспомнить.
Суть такова. Контроллируемый процесс запускается в минимальном чруте. Ему подсовывается пропатченная версия libc, осуществляющая виртуализацию файловых путей. Вся коммуникация с «настоящей» файловой системой производится этой libc путём обмена данными через сокет с сервисом, живущим вне чрута. Т.е. получается, что сервис по отношению к контроллируемому процессу является тем же самым, чем является сервис файловой системы в микроядерных ОС. Если же «сильно умное» приложение попробует дергать сисколы ядра напрямую, то оно увидит только почти пустой чрут, не содержащий никаких важных данных.
