> А его особенности - И какие там особенности для защиты от взлома? Чур, на неуловимого Джо не кивать.
> - другие. Теоретически, можно собрать и безопасный, но практически у конкретного
> пользователя на это времени не хватит.
Поэтому проще всего просто распилить относительно мощный хост виртуализатором на отдельные виртуалки и ограничить последствия от взлома некоего сервиса сугубо этим сервисом. Сделав примерно то что микроядерщики и хотели, только уже существующими и хорошо работающими средствами. Рутование виртуалки при этом мало кому и что даст, все-равно там ничего ценного нет. Собственно, это одно из применений виртуализации: изоляция почти как если бы это были отдельные железные машины, без нужды платить за эти самые отдельные железные машины. Реально конечно это чуть похуже - в гипервизоре могут баги найтись, но это в целом существенно повышает требования к атаке, дыры в гипервизорах - штука довольно редкая.
>> Как раз в этом самом by design-то имеются кой-какие сомнения...
> У таких, как вы, вечно сомнения. Но это только от общего непонимания
Если понимание все-таки включить, опенбзда - обычная операционка. Самый обычный такой монолит. Тезисы о том что там более качественный код требуют как минимум внятное большое исследование качества этого кода, доказывающее этот тезис. А без этого - это маркетинговый буллшит или неуловимый Джо, в зависимости от (не)сознательности вашего очковтирательства.