> ох… «и вот потому мотороллер — не мотоцикл.» "в нормальных дистрибутивах
> — мотоцикл!" Ложная аналогия. В ядрах Alpine и Hardened Gentoo реализован наиболее полный спектр защитных механизмов в дополнение к стандартным ограничениям chroot, что делает его действительно защитным механизмом (не без защиты ядра, разумеется). И fchdir на дескриптор вне чрута запрещён, и ptrace ограничен, и запрет на доступ к "внешним" процессам есть, и даже у рута в чруте ревокнуты capabilities, годные для побега или компрометации системы. Получается, ребята взяли чертёж мотороллера, перекроили его и по итоговому сделали уже мотоцикл.
>> MAC же. При дложном качестве и защите кода реализации.
> (блюёт)
А что делать? MAC полезен, и не только для этого. Например, недавняя уязвимость в коде LD_AUDIT в glibc и подобные ей напрочь закрываются, если setuid-экзешнику закрыт доступ к выполнению кода библиотек не из белого списка. И это один пример из многих.