>>Начитался я подобного и ччас у меня все браузеры запускаются от отдельного
>>пользователя webbr скриптом на перл
>
>а чего, нет ещё дистрибов где по дефолту всякая программа запускается от
>своего индивидуального юзера? Есть, UNIX называется, - у каждого процесса есть SID PID PPID TID ...
Одному процессу низя лезть в другой напрямую, SIGFLT называется...
write(), sync(), mmap() и соседи работают от UID + GID
Остальное излишки... так как целей на запись меньше, чем на чтение.
То есть, записать можно: на диск, в сеть, принтер, экран, память, ..., периферию,
а тех кто это может сделать, ну почти бесконечно много.
Так что, деление на группы по типам используемых ресурсов вполне хватает.
Вот SELinux, PAX, Apparmor, прикалываются с мандатами, подписями файлов, доп. атрибутами...