AppArmor
Я пользовался только selinux. Сложно, огромный микроменеджмент, всё равно нужно помнить о других методах защиты, но именно он выбран дефолтом для андроида. AppArmor создан , чтобы быть проще и легче, но я им не пользовался.
Тут стоит отменить, я сам не эксперт высших Linux-наук. Я что-то такое вроде делал, но виртуализация всегда была для меня в приоритете. Как я понял, ты искал рубильник запретить, но логика systemd обратная: сначала ты тотально изолируешь службу с помощью ProtectSystem= и PrivateDevices= , а затем директивами ReadWritePaths= и ReadOnlyPaths= прорезаешь узкие щели к нужным файлам и директориям. У systemd есть одна большая проблема, в её арсенале есть масса вещей, которые нормально не задокументированы или документация вводит в заблуждение. Часто ты узнаешь некоторые возможности не из документации, а из форумов, например с того же LORа и экспериментов.
Для более простой работы с песочницами, просто systemd не лучший вариант из-за меньшей интуитивности. Для песочниц есть современный Bubblewrap, есть более старые аналоги. Все эти механизмы (кроме виртуализации и в чём-то selinux) это разные надстройки над одними и теми же ядерными механизмами.