> как вариант - selinux (при условии, что Вам реально так надо, мне
> лично - нет)

Вообще не вариант - настраивается геморно, а выносится первым же сплойтом прорвавшимся в ядро. Готовых полубоевых образцов, выносящих хваленый selinux - навалом. Для lxc/openvz и то вон типичные сплойты там зачастую не работают, в отличие от. Поэтому я имею наглость полагать что контейнеры будучи проще в настройке и аудите, обеспечивают степень изоляции не хуже а то и лучше. Короче мандатный контроль - это такая бнопня для зануд из унылых бюрократических структур, у которых регламент такой. Я бы не дал зуб что это лучшее решение, но в таких конторах бюрократия и регламент ценится выше здравого смысла и фактической результативности. А мне на регламенты плевать, мне фактический результат роялит.

> могу дать пример реализации, чтобы не тормозило:

Мне это не надо - если меня паранойя настолько задолбает, я и сам имхо справлюсь :). И без вас и без джоанн. Правда мне имхо в 99% хватит менее параноидального но более эффективного решения на lxc/openvz + капканы для обнаружения поимения контейнера.

> таки RDP только для виндовых гостей, если брать иксы с их прозрачной
> работой по сети через ssh - проблем с HD видео никаких нету.

1) Мне плевать на RDP и виндовых гостей. Зная как обычно администряются винды и какой зоопарк там водится, для меня отсутствие доступа у недоверяемых по умолчанию машин к моим машинам - это пожалуй фича, а не баг. Да, я считаю типичный комп с виндой по умолчанию недоверяемой машиной, потенциально провирусованной или пробэкдоренной и на то у меня есть причины :)
2) Мне кажется что гонять ссх на локалхосте - это оверкилл. Почем зря проц шифрованием будет мучаться, а один хрен в локальной оперативе оно все расшифрованное лежит.

> формально можно настроить pulseaudio,

Вот уж кто не вызывает доверия - так это оно.

> пускать игрушки через ssh на виртуалке с отрисовкой на хостовой системе,
> тормозить не должно.

Угу, не должно тормозить. Если посчитать размер кадра 1280х1024х32bpp и захотеть не менее 30 таких кадров в секунду, можно обнаружить что шифровать и расшифровывать приходится как-то очень уж дофига. При том мне не понятен смысл шифрования в пределах локалхоста. Это какой-то самообман. Потому что фактически все данные лежат незашифрованными, а шифруются только при переносе между частями системы. Это напоминает железную дверь, стояшщую в чистом поле.

> виртуализатор - ксен, как его поиметь - можете загуглить (емнип было как
> минимум три варианта как поиметь ксен, один не так давно (проблема
> с buffer overflow, детали гуглите)).

Остается только вопрос сколко будет возможностей поиметь иной виртуализатор или ядро. Врядли меньше. А с фига ли меньше то?

> как бы у меня такие идеи возникали давно, вот только восьмиядерного компа
> с 32 гигами оперативки у меня нету... :)

Ну тогда можно c LXC/openvz повозиться :). Мне нравится идея по принципу 1 контейнер на сервис, это нечто среднее. Не такое тяжеловесное как сабжевая система, но и степень изоляции похуже (как минимум кислотные сцуки, известные своими диверсиями, утверждали что у них есть сплойт и для обхода openvz, насколько они там врали - да хз).

> PS: как нибудь соберу и выложу скрипт для сборки таких систем.

Я не против :) правда не думаю что мне это будет полезно, но если кому-то пригодится, я рад за них.