спасибо за ответы, я пришел к выводу, что в boinc из репозитория как раз очень хорошо реализован этот принцип запуска от системного пользователя boinc (он как демон запускается, пользователя создает при установке в postinst, команды я от туда брал),... осталось разобраться с apparmor, но это наверное другая история )