> А можно просто ответ на вопрос? Без "посмотреть на дебиан"?

Объясняю: в дебиане вообще все (ядро, утили и весь софт из репов который я поставил) - обновляется и управляется одинаково. И политики одинаковые для всего что из дебиановских репов. Пакеты более-менее равноправны, в пределах релиза они майнтайнятся все. По большому счету каждый сам решает что для него будет "базовой системой", набирая себе систему из кирпичиков-пакетов как там ему было надо в энном применении. Это с одной стороны уже достаточно гибко, с другой - легко админится. Не без своих приколов, но остальное как-то еще хуже, имхо.

> Ну если отдельный
>> @daily                                  root    freebsd-update cron
> в crone вызывает ушиб головного мозга ...

Ушиб головного мозга - когда есть несколько разных утилит для одних и тех же операций и втюхиваются совершенно искусственные разграничения (что такое "базовая система"? и почему какая-то горстка хрычей смеет мнить что лучше меня знают что мне надо как "базу"?)

> Как бы есть.

Хорошо сказал. "Как бы".

> https://wiki.freebsd.org/VIMAGE/VNETSamples
> Оно?

Похоже. А оно уже научилось независимые маршруты, правила фаера, настройки шейпинга и проч? В пингвине сеть вертуализована полностью, свои правила фаера, свои локалхосты, маршруты и shaping никого не удивляют, можно железные интерфейсы в любой контейнер передвинуть и проч. А чисто для лулзов можешь посмотреть на firejail, удобен для изоляции отдельных программ, в т.ч. десктопных. Похоже по смыслу, только раза в три лаконичнее.

Знаешь как у меня запущен браузер? Пнут в отдельный контейнер с отдельной сетью, своими юзерями и специфичным видом файлухи, где он может спереть аж свой даунлоад. И это - одна короткая команда, между прочим. У него там свой эзернет (который на самом деле новый macvlan на том же железном ифейсе). С своим локалочным айпи. И даже своим локалхостом. Настолько что тестовый сервер приходится отдельно пушить в контейнер с браузером. Потому что у него там свой локалхост. Это обеспечивает неплохую защиту даже локальных сервисов друг от друга.

> jail_www_rootdir="/jailsfs"

Не выглядит круто и гибко. Это все что можно из него выжать?

>> и даже  юзерями.
> Это уже не смешно.

Не знаю чего там смешного, с pid+fs+uid+ipc абстракция VM может быть уже довольно полная. Иногда усы еще местами отклеиваются в некоторых сисколах, но в целом неплохо. А если столько не надо - можно виртуализовать только сеть, например.

> А почему вы считаете, что в джейлах этого сделать нельзя?

Потому что там половины лимитов нет. По сравнению с лысыми линуксными cgroups из ванильного ядра.

> man jail

...
> Оно?

Когда я это видел оно не могло даже отдельные правила фаера для "виртуалки" обеспечить. Этот фееричный булшит уже исправили? Или вы контейнеры как натоящий бсдшник видели только в манах, на картинке? Я контейнерами и виртуалками пользуюсь для практически значимых вещей, типа изоляции программ, сборки кастомных вариантов образов/иерархий ОС и проч. Мне не надо галочки в буклете.

> А это, прошу прощения, о чем?

А это о том что в пингвине виртуализация сети - это виртуализация сети. Выглядит как отдельная машина и усы в этой части совсем не отклеиваются, в отличие от.