bubblewrap самое оно.Пользовался firejail-ом несколько лет. Писал все скрипты сам, знал почти опции и как оно примерно работает. Задолбался работать со всеми этими глюками, обилием критических уязвимостей (одну зарепортил сам, кстати -- позволяла обнулить любой файл в хост-системе).
Ушёл в bwrap, не жалею. В начале этого года извёл, наконец, последние скрипты на нём и переписал на bwrap. Всё чище, приятнее, никаких исключений и особых правил.
Если кто пишет firejail-правила самостоятельно -- рекомендую попробовать bwrap.