> Ну, можетида - но она там определенно _есть_ и определенно "держится" -
> в отличие от, ниасиливших ни нормальный acl на файлы, ни возможность
> дать доступ к сети конкретной программе, ни... да ничего в общем
> ниасиливших "неуловимых Джо".

На фоне этих поделий мои конфиги тоже смотрятся просто звездолетами. С одной стороны - никакого факин микроменеджмента - вбил координаты назначения и варпнулся туда. С другой это все сильно проще, быстрее, предсказуемее. А силовые щиты еще и не такой threat level отфутболивают.

Пока вы там трахались с микроменеджментом, рискуя неверно понять эффективный набор прав, и молясь чтобы хаксоры не нашли обходной путь - я за 10% времени от этого нарулил куда более радикальную изоляцию под совсем другие допущения, где не то что мышь, блоха не проскочит.

...а если можно получить результат лучше и быстрее, надлежит признать вон то страданием фигней. Цель же не супер-абстракции нагородить, а достичь результатов. Как то - чтбы удобно было легитимному админу, а неудобно - интрудерам. В вон тех системах обычно все наоборот получается, #$%ться с настройкой дольше чем хаксору обходить. И зачем это в таком виде надо?!

В результате на маздае пользователь зажат между молотом и наковальней и ему с обоих сторон достается, и от вендора и от хаксоров. А чтоб хорошо, удобно, безопасно, с респектом приваси, и вообще - да вот сейчас. Достаточно EULA почитать чтобы все понять.