>Наконец-то начали латать этот Решетинукс! Только поздно уже...
>
>По идее, ЛЮБАЯ программа не должна вылезать за пределы своей директории, а
>всякие запросы к /dev/* осуществлять через системные сервисы (где и проверяются
>все пермишыны).

open('/dev/smth') тот же системный запрос позволяющий ту же регулировку прав :)
А вот open('/home/some1/.gnupg/secring.gpg') уже не выглядит так хорошо (если это делает не '/usr/bin/gpg'). Как и exec самого /usr/bin/gpg, хотя.

То есть говоря, для большей безопасности у одного пользователя должна быть (хотя бы!) возможность определять, к чему есть доступ определённых программ. Вроде того, как это делается для системных демонов.

(Только вот firefox у меня использует очень много всего включая gpg, и при этом, наверное, является наибольшей потенциальной дырой в системе…)