その場でユーザー環境を複製および分離する

Docker を使用すると、これを非常に簡単に行うことができます。

docker pull ubuntu

docker run -t -i ubuntu /bin/bash
# make your changes and then log out
docker commit $(docker ps -a -q | head -n 1) sandbox

cat > /usr/local/bin/sandbox <<EOF
#!/bin/sh
exec docker run -t -i --rm=true sandbox /bin/bash
EOF
chmod a+x /usr/local/bin/sandbox

echo /usr/local/bin/sandbox >> /etc/shells

useradd testuser -g docker -s /usr/local/bin/sandbox
passwd testuser

testuserがログインするたびに、それらは隔離されたコンテナーに配置され、他のユーザーのコンテナーでさえも、その外側には何も表示されません。
コンテナは、ログアウトすると自動的に削除されます。

説明：

docker pull ubuntu

ここでは、使用するベースイメージをフェッチします。 Dockerは標準のイメージを提供し、ubuntuはその1つです。

docker run -t -i ubuntu /bin/bash
# make your changes and then log out

ここでは、ubuntuイメージからシェルを起動します。行った変更はすべてユーザーのために保持されます。
Dockerfile を使用してイメージを作成することもできますが、これは簡単なことだと思います。

docker commit $(docker ps -a -q |  head -n 1) sandbox

ここでは、実行された最後のコンテナをsandboxという新しいイメージに変換します。

cat > /usr/local/bin/sandbox <<EOF
#!/bin/sh
exec docker run -t -i --rm=true sandbox /bin/bash
EOF

これは、ユーザーがログイン時に実行することを強制される偽のシェルになります。スクリプトはそれらをdockerコンテナーに起動し、ログアウトするとすぐに自動的にクリーンアップされます。

chmod a+x /usr/local/bin/sandbox

私はこれが明白であることを願っています:-)

echo /usr/local/bin/sandbox >> /etc/shells

これはシステムでは必要ないかもしれませんが、私の場合、シェルは/etc/shellsに存在しない限り、ログインシェルになることはできません。

useradd testuser -g docker -s /usr/local/bin/sandbox

シェルを作成するスクリプトに設定した新しいユーザーを作成します。スクリプトは、サンドボックスコンテナを起動するように強制します。これらはdockerグループのメンバーであるため、ユーザーは新しいコンテナーを起動できます。
ユーザーをdockerグループに入れる代わりに、単一のコマンドに対するSudo権限をユーザーに付与することもできます。

passwd testuser

これも明らかだと思います。