Nejlepší sandboxing/izolace na Linuxu pro Firefox, Wine a programy z Githubu

Čau, potřeboval bych poradit se sandboxingem na linuxu (desktop Manjaro). Do teď jsem používal na nedůvěryhodné programy VM, ale připadá mně to pro většinu mých potřeb zbytečně komplikované.

Co chci sandboxovat/izolovat:
  • jednu instanci Firefoxu kvůli některým nedůvěryhodným doplňkům;
  • programy pro Windows spouštěné přes Wine, popř. Dosbox;
  • programy z Githubu nebo z AURu.

Nejběžnější návrhy z různých článků a diskuzí co jsem pročetl:
  • Qemu - virtualizace, spotřebovává moc zdrojů, používám nyní;
  • Qubes OS - celý OS, takže nic pro mě;
  • chroot, LXC, Docker - není primárně určeno na bezpečnost, takže nedoporučováno;
  • spouštění pod jiným uživatelem - Wine to nabízí, ale obecně to asi není správné řešení;
  • Systrace - doporučováno, ale nemám ho v oficiálním repozitáři;
  • Firejail - doporučováno, používá mj. kontejnery a mám ho v repozitáři;
  • AppArmor - doporučováno, mám ho již předinstalován a prý se hodí i do produkce;
  • SELinux - taktéž i do produkce, ale komplikovanější a složitější než AppArmor;

Takže mně z toho vyšel nejlíp AppArmor a Firejail. Jelikož s žádným nemám zkušenost, tak budu muset použít někým připravené profily - tady https://github.com/mk-fg/apparmor-profiles/tree/master/profiles jsem našel pro Firefox i Wine (dosbox) a Firejail je má již součástí instalace.

Je AppArmor vhodný? Tím, že ho v kernelu zapnu pro celý systém, tak nepřinese do budoucna více starostí než užitku? Není kvůli jednoduchosti vhodnější Firejail? Zajistí mi ochranu před nebezpečnými aplikacemi nebo je to jen iluze bezpečnosti? Nejsem v tom žádný expert, takže si rád nechám poradit, abych znovu neobjevoval kolo.

Ještě mě napadá jedna věc. Předpokládám, že AppArmor ani Firejail nedokáže u GUI aplikací izolovat X server. Plyne z toho jen nebezpečí, že mi nedůvěryhodná aplikace ze sandboxu odchytne heslo, které zadávám do jiné aplikace nebo neizolování Xka představuje větší riziko?