Ta kontrola je na základě procesu a cesty (to pak dělá AppArmor nebo SELinux), nebo nějaký custom program (co má dělat?)? Nejde custom program realizovat hooknutím syscallu přes eBPF? https://blog.yadutaf.fr/2016/03/30/turn-any-syscall-into-event-introducing-ebpf-kernel-probes/
Že jsou Xka tragédie souhlasím, snad bude brzo použitelný Wayland. Zlepšuje se.