> Это дистроспицифично.Ясно, просто в Arch'е такого каталога не наблюдаю.
> В одном есть в другом нет. sysconfig и default - странные каталоги, которые содержат якобы конфигурационные файлы, а на самом деле bash-скрипты где объявляются переменные в которых пишут опции запуска.
Не совсем BASh скрипты, некоторые файлы там это действительно дефолтная конфигурация программы, а не просто сохранение в environ.
>>> 4. Начнёт контролировать по ACL доступ к демонам и их сокетам, конфигурациям,
>>> самому себе.
>>> 5. Обзаведётся шиной данных для обмена информацией с модулями ядра и замкнет
>>> на себе IPC со своими ACL.
>>А вот это уже лишнее.
> А почему?
> п.4 уже работает, потому что SELinux работает и понимает вызовы systemd.
Только SELinux не везде включен.
> Там осталось только дать systemd возможность описать набор правил и разрешений для демона.
> Дашь возможность системному менеджеру управлять заранее заготовленным подмножеством параметров связанных с демонами и с ним самим, и появятся "Локальные политики безопасности".
На предприятиях да это нужно, дома это лишнее.
> Просто сейчас эти политики безопасности работают отдельно от systemd чуть-чуть сбоку.
И хорошо что пока работают отдельно.
> Что касается шины, тут аналогично, kdbus тянули-тянули в ядро но не дотянули. Почему не дотянули?
Сам D-Bus вроде собираются переписать, разве нет?
> ЕМНИП, Линус сказал, что это не был очень хороший патч, причём в такой манере, что вротфильтр опеннета это не пропустит.
> А что нужно делать в таком случае?
> Выпрямлять архитектуру и руки.
Это итак понятно.
> С другой стороны наличие шины IPC на стороне ядра позволит... что сделать? Много чего, почитайте архитектуру так называемых "гибридных" ядер.
Прочту на досуге про "гибридные" ядра.
> Видимо, это было слишком тонко с моей стороны.., просто перечисленные ранее пункты "развития" превращают Linux в своеобразное BSD-окружение, сделанное с оглядкой на WinNT, и многое уже сделано, забавно да?
Забавно, не забавно, а разница? У BSDk свои прелести, у Windows NTk свои.
> Нейтральность и отсутствие качественных суждений в этом вопросе приветствуется.
Раз вы написали то ладно учтено.
> Вы хоть понимаете зачем это?
Да, после прочтения.
> Существует такая вещь как децентрализированная авторизация.
Никто не спорит о существовании этой вещи.
> Это когда правами пользователей управляет внешняя сущность, которая обычно не что иное как служба каталогов с Kerberos KDC.
Видел такое в техникуме, только вместо кербероса был Samba и AD. Но я бы сказал что это более централизованный вариант AAA.
> Заранее имея разграничение на локальные и сетевые сервисы можно автоматически создать учётную запись, которая содержит все необходимые разрешения на Kerberos SPN, что при правильной конфигурации Kerberos позволит олицетворить других пользователей Kerberos на этом сетевом сервисе через делегирование в службе каталогов.
Теперь более менее ясно.
