ugyan nem írtad min futnak a konténerek (Host OS), és hogyan (feltételezésem a Docker, mivel említetted a docker scant is.) - de a lényeg hogy SELinux, AppArmor is jó barát. Továbbá Seccomp, rootless mode, van itt minden.
Szóval még ha az alap image-ben van is némi turpisság, amit természetesen igyekezni, asap kell minimalizálni, a host felöl is meg kell tenni mindent. Nem egyszerű feladat, ellenben szép kihívás.