Почти весь ъ-энтерпрайзный софт ставится через безумные гуевые инсталляторы, unattended install может и не быть (либо он будет кривой, как в 5й вебсфере).
Системд из шапки не выпиливается вообще никак, если не переступать половину системы руками. А вот тот факт, что селинукс по умолчанию включен, слегка напрягает, ибо нужен он далеко не всем.
MAC он by design таким должен быть, ящитаю: нужен не нужен, решаешь не ты :) Но если хотите, можете развернуть что значит "не нужен". У меня просто -- если хоть один сервис в сеть слушает, то MAC нужен. Чтобы через скомпрометированный этот сервис не лезли дальше.
А вот тот факт, что селинукс по умолчанию включен, слегка напрягает, ибо нужен он далеко не всем.
возражение - SElinux крайне годная штука, просто нужно уметь им пользоваться. вот внятный гуй и всплывающие окна типа «я заблочил X, который в первый раз увидел, я прав или нет?» ему бы точно не помешали
Ну у нас корпоративные репы для CentOS и своя сборочная инфраструктура под них. Я не знаю, это считается левые или не левые. Но рядовому вебельщику, конечно это оверкилл. Хотя ...
внятный гуй и всплывающие окна типа «я заблочил X, который в первый раз увидел, я прав или нет?»
Вообще, применительно к популярной targeted policy это наверное не очень полезно. В интерактивных сеансах всё равно всё unconfined. У меня вот на рабочих компьютерах даже mozilla_plugin_t не используется для плагин-контейнера, по какой-то причине, хотя следовало бы. А прямо серьёзных таких сетапов с multi level security я в природе и вовсе не видел. (Наверное, это скорее хорошо.)
Если у вас всё так, как ты рассказываешь, то я уже хочу у вас работать. :) А так, за сказками про мифических хакиров как-то все подзабыли, что большинство преступлений совершается инсайдерами. Переписку демпартии слил инсайдер, Сноуден тоже инсайдер, даже флешку со стуксом инсайдеры в жопе на объект пронесли. А лоровские иксперды продолжают вещать про «бизапаснасть нинужна, у нас фсё атключина».
Я прям себе представил, как среднестатистический веб-разработчик делает полиси.
Для чего он там будет делать полиси? Самое большее, что ему потребуется - править контекст файлов. Что не сложнее chmod. А если человек не может осилить chmod/chcon, то ему стоит сидеть на уютненькой Azure и не чирикать.