firejailってやつめっちゃ良さそうだな。apparmor単体では使ったことがあるが使い勝手が複雑で全然使っていなかった。低オーバーヘッドのdockerとの中間点としてかなりよさそう。これでgoバイナリとかnextjsとか(もちろんnonbuz/intrawriteも)ちゃんと問題なく動くんなら導入しない理由ないね。nginxも通せるらしいしだいたいのアプリは通せそう。