оттюнить RCU/cgroups/квоты, обойти СУКА УЕБИЩНЫЙ ДИСКОВЫЙ I/O ПЛАНИРОВЩИК И САМОМУ ШЕЙПИТЬ ВВОД/ВЫВОД. Воткнуть хуков в securityfs/audit/verity, чтобы не лезло. Отрубить в ОС попытки писать xattr, нафиг надо знать системе, откуда чо скачалось-записалось.
потом демонизировать, сделать разделение по юзерским сессиям
потом пидорить nspawn/pam/consolekit