> А есть ли какие-то планы по интеграции SELinux, AppArmor, TOMOYO ?

Пока что планы "отрицательные", по нескольким причинам, включая несовместимость с OpenVZ (не то чтобы принципиальную, но это дополнительная работа, код, риск). Решение, что OpenVZ просто "не совместима" с LSM, было принято еще в конце 2005-го года не без моего участия. Вероятно, когда поддержка контейнеров в большей степени вольется в mainstream ядра, их поддержка в Owl будет "переключена" на этот включенный код. Вероятно, разработчики mainstream ядер сделают "ту" поддержку безопасно (по их мнению) совместимой с LSM и ответственность будет "на них". Тогда этот аргумент отпадет.

> Как вы вообще к таким технологиям относитесь и насколько по вашему мода по их добавлению в дистрибутивы оправдана ?

Теория хорошая. Но я бы приступал к внедрению таких технологий только сначала исчерпав стандартные возможности Unix в своей же "базовой системе". Когда система даже толком не использует обычные file permissions биты, привнесение вылезающих за рамки традиционной Unix-модели средств безопасности выглядит преждевременным. Я бы лучше понял, если бы это делалось небольшим сторонним "security vendor'ом" для "фиксированного" популярного дистрибутива (уж какой ущербный дистрибутив есть, а мы его "залатаем"), но когда это делает компания-автор дистрибутива, такая расстановка приоритетов выглядит для меня нелогичной (хотя я понимаю как это происходит - интересы конкретных специалистов, причем уважаемых мной людей, а маркетинг уже потом подхватывает).

Из нашего опыта, для компонентов "базовой системы" (да и не только) можно добиться очень неплохих результатов стандартными средствами Unix, если их использовать "по полной". А с внедрением в ядро компонентов для реализации контейнеров удается пойти еще дальше - например, свежие версии vsftpd (кстати, включенного в Owl) уже как-бы частично загоняют части себя в "контейнер" (в той степени, в которой конкретное Linux-ядро это умеет) - это уже несколько больше, чем просто chroot в /var/empty.

> Еще было бы интересно услышать ваше мнение по поводу технологий повышения безопасности, представленных Google в Chromium OS.

Я не в курсе деталей. Информация на сайтах вызывает у меня согласие, как и люди кто за этим стоит. Среди прочего, там речь идет о применении как раз средств поддержки контейнеров, кстати, вошедших в mainstream ядра не без участия разработчиков OpenVZ. Да, кстати, автор vsftpd нынче работает в Google, разумеется в security team.