Предоставить программе доступ только к каталогам ниже cwd

Допустим, я запускаю такую ​​программу:

cd foo && program xyz 

Как я могу предоставить program доступ только к каталогам в foo и ниже?

Притворимся, что мой фс выглядит так:

 $HOME/ foo/ bar/ baz/ 

если я запускаю program в foo/ dir, она, очевидно, не должна иметь доступа к тому, что находится в bar/ или baz/ и т. д.

ПРИМЕЧАНИЕ. Мой дистрибутив – Ubuntu 16.04, если это что-то меняет.

Это похоже на хороший ответ: https://unix.stackexchange.com/a/384120/113238

поэтому мы бы сделали что-то вроде этого:

 chown app1 /var/lib/myapps/app1 chmod 700 /var/lib/myapps/app1 sudo -u app1 /var/lib/myapps/app1/run.sh 

Тем не менее, я бы нашел решение, которое не требует sudo.