A maneira mais fácil de obter com segurança o equivalente ao SUID em um script de shell

Eu tenho um script no qual preciso montar uma sobreposição para fornecer a um contêiner OCI acesso a um diretório somente leitura montado /nix/storecomo se fosse gravável.

Eu gostaria que esse script pudesse ser executado por usuários não-root/não-wheel. Qual seria a maneira mais fácil? Inicialmente, tentei ingenuamente usar SUIDantes de perceber que eles não funcionavam, o que me levou a um monte de respostas e artigos sobre os perigos dos SUIDscripts shell, incluindo um que explicava por que simplesmente envolvê-lo em algum programa C não resolveria o problema. questões de segurança relativas a ambientes não limpos.

Existe um wrapper/utilitário fácil em que eu possa agrupar o script e que cuide de tais vulnerabilidades?

Do ambiente do usuário, eu só preciso de um ENV que é passado apenas para o contêiner docker, porém, o usuário root teria a mesma variável ENV em sua sessão bash, portanto, se uma sugestão funcionar desconsiderando todo o ambiente do usuário e, em vez disso, usar o root one, isso seria bom para o meu caso de uso.

local temp_dir=$(mktemp -d)

mkdir -p {$temp_dir/store,$temp_dir/upper-store,$temp_dir/work-store}

# Create Overlay
sudo mount -t overlay overlay \
  -o lowerdir=/nix/store,upperdir=$temp_dir/upper-store,workdir=$temp_dir/work-store $temp_dir/store

# Do some sutff with the mounted overlay

sudo umount $temp_dir/store
rm -rf $temp_dir