> Не просто вскроет, а выложит рецепт.

Я даже типовые технологии знаю. Только в результате я лишь поставил пару хороших замков, с которыми профи придется потрахаться, да немного кастома, который откровенно "ссыт мышке в норку". Вон тот засов тягаемый шаговиком вообще наружной скважиной не обладает. Приятный сюрприз для классического медвежатника. Конечно если ну очень хочется открыть можно что угодно, но дольше и паливнее ;)

> Закрывать правильно, а не надеяться на магическое решение уровня "секурно, потому что
> контейнеры", описываемое большинством разработчиков как "это виртуалка, но не виртуалка
> кароч" и используемое по большей части по моде и как бесплатный
> пакетный менеджер, а не ради реальных плюсов неймспейсов.

Я вполне осмысленно изолирую сервисы системдой. Умеючи самолично выписывать ему потребные юниты. И это явно улучшает состояние дел по сравнению с тем позором который был в sysv-based системах. Более того - это и майнтайнеры пакетов начали делать, поэтому мне не обязательно пробивать все стены своим лбом лично.

> Ирония судьбы в том, что обычно это магическое решение типа "всё в
> одном" наоборот мотивирует администраторов лениться и не защищать свои сервисы,

Это на совести тех администраторов. А мне прописать лишние 5-10 строк обрубающие сервис как-то не обломно совершенно. Все остальные способы получить сравнимую изоляцию почему-то значительно канительнее.

> после чего любой обладатель сканера, да ещё и знающий дефолтные для образов пароли

...получит на моих системах и образах жирную фигу, например :)

> "если хочешь сделать хорошо, сделай это сам", ты сделаешь то же
> самое на шелле или просто без контейнеров, понимая, что, как и зачем ты сделал.

Отвесить из шелла нужную последовательность сискллов вообще малореально т.к. в середине последовательности шелл с утилсами уже станет недоступен. Нет, я не хочу все это великолепие хаксорам в загоне с HTTP сервером каким оставлять. Как максимум там будет фэйк-ловушка, с идеей что если там вообще вызвали sh - "intrusion detected".

> Которых, разумеется, не возникнет, потому что контейнер с монгой под дефолтным паролем
> - это безопасность, демон о куче строк, которым ты аудита не
> проведёшь - это тоже безопасность,

А таки на системд довольно много глаз смотрит. А вот тот мега скрипт от чудо кодера - лично моя проблема, и врядли кто это сильно читал. И вообще, шелл не был создан с оглядкой на секурити и там так то довольно много не совсем очевидных капканов есть. Секурно кодить на шелскриптах это вообще такой довольно отдельный и специфичный скилл, доступный немногим.

> это синоним безопасности, потому что контейнеры - это безопасно?) - это
> безопасность, ведь так?

Не вижу смысла пытаться передергивать меня такой лажовой аргументацией.

> Если бы вместо неймспейсов были бы маунты из plan 9 или subhurd,
> ещё можно было про какое-то разделение говорить,

Namespaces так то мощнее. Скажем сеть подвиртуализовывают. И в целом clone() вроде с314жен как раз с сисколов plan9. Просто изначально начинка ядра линуха под вон те абстракции не кодилась и поэтому иногда ус таки может отклеиваться, когда какие-то проверки правов могут понять ситуацию неверно.

> но при решении уровня "скачал образ с бэкдором и забил", управляющимся стрёмным
> демоном на моноядре с дырками в виде BPF... только и остаётся, что повторять мантры:

Я сам себе (и не только) образа систем делаю. Ну, такой маленький нюанс. Удачи в рассказах мне сказок.