Non ho letto nulla nella descrizione del tuo problema che ti impedirebbe di creare account utente diversi per le applicazioni. È quindi possibile utilizzare autorizzazioni di file banali per prevenire interferenze:
chown app1 /var/lib/myapps/app1
chmod 700 /var/lib/myapps/app1
sudo -u app1 /var/lib/myapps/app1/run.sh
modifica
Se il valutatore è in esecuzione come root quindi può semplicemente avviare le applicazioni tramite sudo .
Se il valutatore non viene eseguito come root quindi le applicazioni che chiama (nel modo normale) possono essere installate con il bit SUID (set user ID) in modo che il processo venga eseguito come l'utente che possiede il file binario e non come l'utente del processo di valutazione.
A seconda della distribuzione e del kernel, puoi utilizzare AppArmor o SELinux per contenere le tue applicazioni. Nel complesso, direi che AppArmor è più conveniente da configurare e mantenere. Il wiki di Ubuntu ha alcuni articoli che spiegano i concetti di base.