> разумеется, нет.

Ты в чем-то прав, если ты имел в виду что я для того чтобы взлететь оперся на плечи гигантов. А почему нет, если так можно было и это неплохо сработало?

> Подобрал на помойке то что получилось кое-как завести готовыми тулзами,

Где-то готовыми, где-то не готовыми. Где-то целиком переизобретены лично вплоть до reset handler'а. Случаи разные бывают. Самолично ВСЕ изобретать - ты даже медяку для дорожек на плате компа не выплавишь. Значит придется делегировать другим. Да, частичная утрата контроля, но масштаб и характер проблемы сильно варьируется.

> изменить что-то в которых не сможешь.

Как раз пингвин крут тем что я могу изогнуть егор даже под нетипичные задачи. У меня есть свой выводок патчей на kernel и проч. Мои конфиги ядра изрядно отличаются от дистровских, и на то были хорошие причины. Конфигурации систем имеет мало общего с дефолтами.

Например: почти все кернелы - мои. С lockdown. А ключи - лично мои. Система доверяет *мне*. И шлет в зад остальных. Это моя система. Она служит мне. I have controls.

А вот с виндой например я так не смог бы. И контролируется она другими, начиная с тех ключей. Поэтому когда мне это говорит продвигающий винду тип - ну, э, лол.

> В том числе в виду отсутствия знаний, но и были бы - не помогло бы,

Я не могу знать все. И все же, вроде не так уж плохо работает на практике, а недостающие знания можно и подучить по ходу пьесы. Я всегда учусь. Если я не узнал что-то за день, он прожит зря.

И так или иначе - я могу решить все системные проблемы и допинать это до кондиции, достигнув желаемых параметров и изогнув поведение в желаемом виде.

> еще вечная жизнь нужна и бесконечные деньги.

Я, вроде, не Рокфеллер и даже не МакЛауд...

> Вот те кто эти тулы писали - те учили и научили. Ну как могли - нызенько и какввенде.

Если я могу потрогать палочкой это - значит и я чему-то научился. В каких-то частях меньше, в каких-то больше, но в конечном итоге - это работает. И в конце дня это главный критерий pass/fail. И не хожу по форумам, рассказывая как у меня системы не грузятся или как я на винду свалил. Я в состоянии решить системные проблемы. И помощь зала мне требовалась ну может 1-2 раза за последние 3 года, на эмбедовке, с странными факапами которые тебе в ночных кошмарах не снились.

> Потому что недавно как раз системдряньцы выложили таки документацию (не манпейджи,

Мне как-то хватило манов. Ахренли, есть искаропки и достаточно для понимания основных сущностей, а see also нормально посылает.

> не про них - код вермишель.

Честно говоря у меня не было серьезных причин лезть в именно его сорец. Черт в последних версиях они даже сделали вгруз random seed кернелу нормально, на эмбедовке и vm очень полезно, там с entropy бывает полный трэш, ведущий к весьма неординарным системным факапам.

> в правильном месте и в правильное время - это как раз "в примитивном виде"
> одной тривиальной утилитой.

Есть нюансы:
1) Это должно уже запущено резидентом. Ибо если мы всерьез про сбор изолированого окруженрия, основная ФС сейчас перестанет существовать, и мы с нее ничего вгрузить не сможем, ни исполняемые, ни либы, ни конфиги.
2) Это должно быть весьма привилегированым. Без этого невозможен сетап арены изолированного окружения, многие сисколы привилегированые. Ибо если юзеры начнут так щелкать секурити, начнется полная вакханалия, а всякие bounding set, запреты сисколов и проч билет в 1 сторону.

В итоге получается что systemd как раз в подходящем времени и месте с нужными правами и может это сделать как надо. Комплексно. В верном порядке.

> Которая переключает нэймспейс и больше _ничего_ лишнего не делает.

Есть нюансы: когда мы пытаемся сделать комплексную изоляцию, мы замечаем что после этого нам недоступны утилиты и мы больше нифига не можем. А мы еще хотели шедулеры поменять, сисколы запретить, что-то домаунтить чтобы система не лысая была, CAPSы обрубить и проч. И нет, я не хочу делать сетевому сервису доступными программы для этого. Серверу в крейсерском режиме все это нахрен не надо, не считая апгрейд прав хаксорами. Пусть им будет неудобно и паливно по настоящему, или где? :)

> Но вот беда - место и время надо уметь определить самому (или вовремя понять что
> оно тут совершенно лишне, например потому что в системе маршрутизатор-его
> вебморда у вебморды по определению должен быть доступ к настройкам маршрутизатора,

Вижу вариант когда вебсервер можно обуть на права: сделать межпроцессный интерфейс. Относительно секурный, таскспецифичный. Через котоырй вебсерв с бэком коммуницировать будет. бэк может не уметь ничего кроме полутора операций ломать нечего.

Еще вариант с вызовом сервером привилегированных хелперов, с SUID или CAPSами на оные.

См qemu vs сеть например. Работает и под юзером который сеть не может трогать. Также может сесть на pre-configured сеть, появившуюся "какой-то магией". Не его епархия как, если это обеспечено.

> а больше там и быть ничего не должно).

Так и запишем, пох не слышал про least privileges и даст ломовые права вебсерверу. Я этого делать не буду.

> Но так сейчас немодно.

Да уж, взялись права урезать сервисам - хакеры негодуют.

> концепция выбора дерьма из дерьма? Да, не нравится.

Дык некоторые вещи до этого были еще большим этим самым. Но свое тебе не пахло.

> Концепция "как ввенде" (если бы дерьмо хотя бы просто работало как надо)

Да оно не как в винде вроде. Некий гибрид, отовсюду понемногу. Тут позвать скрипт это 1 строка конфига, а в регэдите с svcmgr или как там его я этот номер не возьмусь повторить, и с диагностикой там будет совсем задник.

> бы мне вторая была нужна. Юникс-систем, увы, снова нет.

А черт знает, куда мне девать юникс систем в чистом виде? Оно не очень практичная в чистом виде штука, кроме академ концепций. Но эксплуатация систем в крейсерском режиме заметно отличается от этого. А долботня с системами если это потом не даст вот то - лично мне не надо.

> Ну, может лет через двадцать снова научатся строить из простых и понятных
> кирпичиков, каждый из которых можно самостоятельно поменять или убрать, не разрушив
> всю конструкцию. Но вряд ли.

В принципе нормальный виш. Однако есть некоторые технические нюансы, например при сборке изолированных окружений. Там sequencing зело хитрый и для внешних программ трабл в том что сук уже спилен, звать нечего. Резидентный привилегированый процесс делающий ВСЕ не имеет данной проблемы. Вероятно это привело к тому tradeoff.