Upd: А, вы значит "самый-умный"...

Описанный сценарий как раз единственно верный, по кр.мере для адекватов,
так как позволяет хоть в теории - раз проверив исходный код хотя бы ядра
(а, ещё ведь блоб загрузчика и всё прч надо как то вырезав сверить с скомлированным, а то и дизассемблировать для сверки отличий из-за отличий кодогенерации компилятора)
позволяет это ядро затем не ломать каждо-дневными обновлениями.....
(да ещё очень-очень мало кем проверяемым, а кто если и проверяет тот обычно молчит о том и обнаруженном, в т.ч.и для своего исп-ния - а, что хотеть от даже официально: GNU-козлорого и даже BSD-бесовского *сообщества*, ничего удивительно что не могущего обойтись без калометаний в каждой ветви и с ЧСВ выше крыши как тут).

Вот только это, как раз с линуксами - вообще же нереально: как из-за всученой - моды на удобство бинарности,
так и потому что нигде не достать же диск, точней оригинальный диск от разработчиков, распространяющих только iso,
а без диска вам для установки iso нужна другая ОСь, альтернатив: печетальщики дисков - даже на словах не дают гарантию тождественности дисков тому iso, не говоря уже непроверябельности фактического содержимого,
(причём и не сверить же даже с .ISO, т.к.в сети понятия оригнальные данные из-за тотальной заведовой затрояненности роутеров провайдеров, а других туда и не ставят а если ставят то потом все желающие имеющие доступ доправляют), как минимум нет такой гарантии
И не надо мне тут мозг иметь про (реально дырявый)https, в т.ч.непрепятствующий реально даже ук.выше router-in-middle при скачке браузера и сам .ISO, и вообще с выдачей всех этих сертификатов как раз тем браузерам(привет FF&Co), и невыдачей неугодным - как религиозно-политически так и например не желающих делать кучу постояных шпионских и вообще backdoor-подключения к их серверам, под предлогом загрузок сертификатов при соединении)
В этом плане те же винды несмотря на свою трояненность - имеет серьёзный плюс: (пока)продаются CD, и можно неофициально даже лицензионные XP и более ранние их ОС найти.
А, вот с *nix... я попытавшись даже заказать у разрабов - сильно обломался, оказалось что даже шпиёно-бунта уже не шлёт.
А, ставить "более защищённую" ОС закачивая в заведомо троянском браузере образ, записывая его с заведомо троянскими ПО для записи CD/DVD/флешек, в заведомо троянской ОС - это знаете ли странный *nix-maxsecure-way...
(про BIOS/UEFI/прошиввки/самихЦПУ ПК даже не буду поминать  -  ведь это уже вне сферы линуксов,
но что то никто из распространитеей [*nix] дистрибутивов - не упоминает на своём сайте даже только эти нерешонные ими проблемы, зато очень любят - о какой то "большей" защищённости)