А вы видели анонс oniux? Изоляция приложений на уровне cgroup, по сути по контейнеру на приложуху, все они имеют свой адрес и работают через тор, полностью огороженные. Круче торсокса, на уровне ведра сразу все изолировано и вроде как что угодно можно так запустить, телегу например.