А может быть, Landlock? Что используете лично Вы для защиты своих систем?

превосходящие по функциональности и удобству традиционные механизмы

Дык чего тебе конкретно не хватает? Сформулируй для себя список сначала и от него уже пляши.

Что используете лично Вы для защиты своих систем?

Отдельного пользователя.

Ограничение прав. И про отдельного пользователя уже упомянули.

Не совсем аналог SELinux и AppArmor (пусть и умеет не пускать программы в ту или иную директорию), но я использую firejail.

Дык чего тебе конкретно не хватает? Сформулируй для себя список сначала и от него уже пляши.

Понимаю, что это невозможно, но было бы здорово, если бы были встроенные механизмы автоматической генерации политик на основе поведения приложений. Также хотелось бы динамической адаптации правил, учета особенностей графических программ и автоматизации рутинных задач. Может, уже есть какие-то «умные» системы безопасности?

Спасибо за совет использовать отдельного пользователя для повышения безопасности системы. Про Firejail, конечно, слышал, но руки до него так и не доходили. Обязательно присмотрюсь.

Разговоры о безопасности не имеют смысла без модели угроз.

Размышляя о том, чего не хватает и чего хотелось бы, перевёл неосознанное в осознанное. Поэтому отмечаю тему как решённую - основная задача выполнена. Вектор поиска найден. )

По идее да, меры безопасности будут либо избыточными, либо недостаточными. Пожалуй, подумаю и над этим. Сходу и не сформулирую.

Когда я сидел на фряхе я решил запариться и попробовать сделать все максимально безопасно и кастомно. Для начала я думал запускать весь GUI софт в виртуалке под линуксом или jails и пробрасывать через X, но не хватило терпения это все настроить. В итоге запускал весь софт, которому нужно лазить по сети – под отдельными, dedicated-для-этого-софта, юзерами. А своему юзеру через pf был запрещен доступ в сеть в принципе.

Все это работает, но жутко раздражает – когда надо какой-нибудь файл загрузить через браузер, то приходилось его копировать рутом в папку браузерного пользователя, менять права и только потом загружать. Если надо было скачать какие-нибудь модули для go, гемы для Руби, crates для раста, npm-пакеты итп – приходилось либо отключать pf, либо добавлять исключения по ip, либо еще что-то придумывать. Сплошной геморой.

Когда вернулся в линукс – решил конкретно забить болт на все это и юзать только докер, когда надо поставить сотню каких-то левых npm-пакетов для проекта. На остальное нет времени.

Существуют ли более эффективные решения для обеспечения безопасности десктопных Linux-систем

Допуск к компу только после сдачи экзамена на правила пользования им.

юзать только докер

Для разовых задач почему бы и нет. Но тут, скорее, изоляция версий зависимостей. Благодарю, что поделились опытом.

Допуск к компу только после сдачи экзамена на правила пользования им.

Зачем нам полумеры? Просто запретим всем пользователям вообще прикасаться к клавиатуре. )

Да нет, почему только изоляция версий зависимостей – не только. Это еще изоляция от вредоносных пакетов, которые могут быть в любом пакетном менджере для любого языка. Историй на этот счет полно.

Ну сама идея интересная, не спорю. Но есть определенные ограничения, например, для GUI/десктоп-приложений. Вы то решаете другие задачи.

Это верно. Для GUI-приложений я и хотел из виртуалок пробрасывать через Xorg по ssh. И тогда была бы полная изоляция. И при желании можно было бы даже смонтировать shared папочки в виртуалке (в фре это был бы nullfs) и без проблем шарить файлы между изолированным от внешнего мира хостом и виртуалкой с гуи-аппом и доступом в интернет. Но это, повторюсь, геморой и время (если хотите, я готов запариться и сделать вам эту фигню за деньги – будет работать!).

Чем плох AppArmor?

AppArmor, будучи проще, иногда сложен в анализе блокировок. К примеру, у SELinux есть утилиты audit2why, sealert, semanage для диагностики.