Nem esznek sok erőforrást. Abból amit tudok és olvastam a MAC rendszerekről, szerver oldalra egyértelműen SELinux. Ez a legkifinomultabb és legbiztonságosabb. Régebben írtam erről.
Mivel AppArmor-hoz nincs még egy gyárilag szállított (fix me) általános sandbox megoldás, ezért oda is SELinux-ot javasolnék ha már kérdezed, mivel ott a sandbox eszközzel azonnal be lehet zárni a böngészőt meg egyéb app-okat egyszerűen mindenfajta tuningolás nélkül, és saját szabálynál nagyobb a hibázás esélye.
De nyilván ezt a rendszer is meghatározza. Ubuntu AppArmort szállít, RHEL vonal meg SELinux-ot. Tehát gondolom nem lesz sok választásod.