Попробовал контейнеры без `--userns=keep-id`, и всё работает. Звук работает, окна показываются, GPU и DBus пока не работают.

Отсутствие keep-id - это очень здорово, это позволит запускать контейнеры внутри pod'ов. А значит можно будет запустить под с базой данных прямиком из докер-хаба и контейнером для изолированной разработки, и база будет доступна по локалхосту внутри контейнера, но не на хосте.

Distrobox так не умеет.

Если найду как починить GPU и DBus, то в следующем обновлении моего #tinkerbox реализую эту фичу.