> пользователь понимал, как работает его системаПока сопроводитель пакета понимает, а разработчики дистрибутивов требуют, сомнительное ПО с SUID флагами в пакеты не попадает. Что попадает, то открыто для аудита. Действуй, безопасник!
> приложений, работа которых по факту никем не проверяется
Вот поэтому "фанатики" требуют раскрытия исходного кода. Чтобы всеми проверялся. А кто не проверял, тот сам виноват.
Но вот сложность и языковое разнообразие кода в наши дни неконтролируемо растет - это действительно проблема. Проблема пользователей ПО. Станет проблемой производителей, подрядчиков и заказчиков - будут решать. В строгом соотвествии с экономической целесообразностью мероприятия. Капитализм - на сегодня главная дыра в безопасности ПО и других сфер жизнедеятельности человека.
> взгляните на sysadmin
Претензия к разработчикам приложений. Им - "нИнужнА!"
> без SELinux нельзя
Зависит от области применения. В большинстве случаев - можно.
> AppArmor с архитектурной зависимостью от путей FS
От имен процессов. В чём проблема? Если установка ПО осуществляется контролируемо, всё, что исполняется, доступно на запись только суперпользователю, исполнение из других каталогов заблокировано при монтировании FS. Если иначе, то архитектура AA - меньшая из проблем.
> Posix ACL, которые никем не вменяются
Применяются, но обычно для разделения доступа в общедоступные каталоги.
> 12 лет уязвимости
В ПО, которым 12 лет никто, с настолько высокими требованиями безопасности, не пользовался. Будут применять - будут находить быстрее. Если рыночек не порешает иначе (см. выше).
> Тем временем в других ОС..
Нет namespaces, cgroups и bpf и много других незаслуженно забытых опеннет-аналитиком buzzwords.
На которых, помимо прочего, современная безопасность Линукса твердо стоит и уверенно смотрит в своё контейнеризированное будущее.