В статье "systrace in OpenBSD" демонстрируются возможности интегрированного в OpenBSD (работает и под другими Unix) средства systrace по ограничению и слежению за системными вызовами.

Например, можно задать для определенного процесса набор правил, разрешающих ему создавать или открывать файлы только в определенной директории или запретить выполнять внешние приложения, кроме заданных.