systemd a service template. Oddělení od systému je solidní, instance můžeš tvořit dvěma příkazy, diskový prostor mohou mít oddělený, každá pod jiným uživatelem, detekce VM se tím vyřeší velice elegantně. Pokud ti nestačí oddělení přes systemd a linux cgroup/user/chroot a tak prosím napiš proč.
Vyhnout se detekci je velice obtížné, všechny běžné virtualizace a emulace totiž nechávají svůj HW nebo ovladače viditelné, stejně tak je možné je detekovat přes zpoždění času, lagy určitých instrukcí apod. a to dokonce z userspace. Pro začátek zkus si to testovat třeba přes
https://github.com/a0rtega/pafish, většina malwarů, virů či jiných neplech s detekcí ale není příliš pečlivá, často třeba ve vmware stačí smbios.reflecthost=true.
Asi bys měl lépe popsat o co se snažíš, aby se dalo navrhnout možná řešení.