> > Интерпретаторы, с питоном включительно, можно обрезать простым DAC.
> Угу, обрежь "пакетный менеджер" простым DAC. И чего он сможет потом? А ежели этот кус крапа заведует софтом в системе - то наверное и поиметь сможет, все что захочет, если захочет, не? На уровне базового анализа взаимодействий компонентов сугубо.Именно так и надо делать! Пакетным менеджером должен рулить отдельный пользователь (запуск под root, установка под root, а вот загрузки и сборка в изолированном окружении под непривелег рованым пользователем), и только ему в случае Gentoo нужны права к инструментам разработчика. DAC именно для этого и нужен.
> > groupadd shells
> > usermod -a -G shells portage
> > usermod -a -G shells ...
> > chown root:shells /usr/bin/python* /bin/bash ...
> > chmod o-rwx /usr/bin/python* /bin/bash ...
> Прикольные тантры, а смысл? Можно подумать, это блекхэтам как-то помешает.
Это не приколы, а разграничения доступа к интерпретаторам и средствам сборки на уровне DAC.
В обычном Линукс дистре DAC используют для ограничения запуска программы с /usr/games только пользователи группы games могут запускать программы с этого каталога.
Это азы уровня школы, исполнение которых значительно повысит безопасность системы.
> > У сегодняшнего Gentoo есть недостатки, но решаемы.
> ...особенно ежели заменой дистра на менее хаотичный.
Речь идет о интерпретатора и их eval. Для portage есть и бинарные пакетным менеджеры. Система инициализации openrc-run бинарный интерпретатор, а вот netifrc пока проблемное расширение с ворохом eval скриптов.