Большинство "легких" решений для виртуализации более или менее основано на chroot-идее - со скрытыми процессами от "ведущего устройства". Я не видел СЕРТИФИКАТОВ о проблемах там, но это, кажется, не то, что Вы ищете.
Подход Гипервизора мог бы быть больше направлением, которое Вы ищете - но я не считал бы это как "легкий вес" (также PV XEN DomU довольно быстр). Строго говоря Dom0 не запускает DomU - он говорит Гипервизору делать так - но там иметь СЕРТИФИКАТЫ мольбы о priviledge эскалации (VMware ESX и XEN). Я не знаю о Hyper-V все же.
Для лучшей изоляции пользовательских прав - где существует процесс пространства пользователя, порождающий "изолированный" VM, существует VirtualBox - но снова - не легок. Это - полная виртуализация, но VMs может быть запущен как "нормальный" пользователь. У пользователя должен быть доступ к базовому диску - и если Вы хотите/нуждаетесь к - USB-устройства.
Кроме этого существует модуль ядра для сетевого материала, который, кажется, работает вполне хорошо (использующий DKMS).
необходимо было бы использовать setsebool
который скажет selinux позволять определенные операции.
но сначала сделайте это:
/usr/sbin/getsebool -a | grep samba
видеть, позволяет ли selinux уже действие самбы.
если бы это не, вот некоторые примеры того, что я использовал бы (если бы я использовал selinux):
/usr/sbin/setsebool -P samba_enable_home_dir on
/usr/sbin/setsebool -P samba_export_all_rw on
или что-то сопоставимое в зависимости от того, что Ваша цель с тем, как строгий Вы пытаетесь сделать его
альтернативно можно использовать system-config-selinux
и проверьте опции, имеющие отношение к самбе