Nem todos os aplicativos que executamos são provenientes de repos confiáveis. Às vezes, obtemos um pacote .deb , .rpm , .tar , etc. que contém um aplicativo no qual não confiamos totalmente em confiança. Estou falando de leve desconfiança, não de paranóia completa.

Sem entrar em um grande debate sobre se deve executá-los ou não, como eu poderia executar um aplicativo GUI não confiável com os critérios básicos sendo:

• não tem acesso aos meus arquivos importantes
• não consegue ouvir entradas de teclado ou mouse quando não está focado

Possibilidades que conheço

outro, usuário restrito em outro ou no mesmo sistema

O problema que tenho aqui é X. Claro que você pode executar xhost +local:restricteduser ou talvez gksudo -u restricter thatapplication , mas eles preencheram os critérios básicos listados acima? É seguro?
Eu não pareço assim como eu testei isso com o JDownloader, que rodava em uma VM que eu fiz com o acesso X e tinha acesso à minha área de transferência ...

outra máquina / sistema (pode ser virtual)

Isso parece bastante seguro, já que eles poderiam acabar com o outro sistema e o seu ainda estaria ok, mas rodando uma VM toda vez que o aplicativo parecer um exagero (você deve realmente desconfiar do aplicativo).

outro

Ouvi falar de um sistema operacional em desenvolvimento que o IIRC criaria uma nova máquina virtual por usuário. Não consigo lembrar o nome ...