> AppArmor позволит реализовать что-то вроде фаервола с фильтрацией трафика в зависимости от приложения?тяжелое наследие ос вендоз...
Открыть хотя бы педивикию для ликбеза не судьба?
На пальцах: SL, AppA - определяют разрешенный контекст, в котором ПО будет функционировать. Есть браузер, значит ему доступно ходить в сеть, только читать /usr/bin/browser, писать в /tmp, ~/.browser. А остальное - нельзя. В случае, если браузер хакнут, то ОС будет уязвима до пределов правил браузера, а не целиком.
> а будем иметь какой-нибудь apfilter, в котором, если указать опцию "запретить wget доступ к сети", то wget уже не сможет пробиться в сеть.
а зачем тогда вообще wget установлен? У него основная задача данные из сети качать.