> под мои условия подходит только KVM

А он тебя через SMM багу у интелов иль через отладочные регистры ломанёт.
При помощи косяков у TSC и HPET на некоторых чипсетах тоже можно вылезти из виртуалки.
И что самое клёвое будет сразу хостовый рут. А если на хосте в SMM лазать, то оттуда
сложнее шел от рута запустить. Отака х...ня, малята.

>> У меня /home смонтирован с noexec, и все места куда пользователь может
>> писать (/tmp и т.п.)
> таки мне надо, чтобы пользователь мог запускать файлы
> но при этом:
> либо не мог юзать команды, позволяющие хулиганить

Я думаю что надо относиться так: все программы установленные рутом из репозитария не опасны, система все таки продумана на этот счет. Тащить в систему свой инструментарий можно запретить (например опцией noexec на места куда пользователь может писать). А так вообще на хостингах сайтов на некоторые команды ставят 770 root:root разрешения, это распространено. Ну а chroot или контейнер требует сборки нужного окружения для пользователя включая библиотеки.
> либо не мог вылезать этими командами за пределы /home

>> У меня /home смонтирован с noexec, и все места куда пользователь может
>> писать (/tmp и т.п.)
> таки мне надо, чтобы пользователь мог запускать файлы
> но при этом:
> либо не мог юзать команды, позволяющие хулиганить
> либо не мог вылезать этими командами за пределы /home

Попробуй selinux или вторую технологию, как там её зовут...
Если вкуришь всю эту тему - полюбому получится сделать то, что тебе надо.

>> У меня /home смонтирован с noexec, и все места куда пользователь может
>> писать (/tmp и т.п.)
> таки мне надо, чтобы пользователь мог запускать файлы
> но при этом:
> либо не мог юзать команды, позволяющие хулиганить
> либо не мог вылезать этими командами за пределы /home

restricted shell