Гугл к сожалению не помогает - «лол вирусы в убунту , смотри что ставишь и чисти сорслист по репам», а хочется взвешенных советов «новичку». 0) Но, никто в здравом уме не будет читать сорс каждого пакета.

1. Про доверие к репам: Даже в ядро может быть злое (см на хабре, парни чисто по фану протащили правки с заведомыми уязвимостями в ядро и мейнтейнеры пропустили. Не на долго, но только потому, что парни начали хаипить)
2. Про «известные и авторитетные пакеты» : Когда началось «веселье» в один пакет, которым почти все пользуются на продакшене, один уважаемый разработчик внес изменения чтобы севера с ip рф делали «rm –rf» ( про то, что может положить сервер больнички/школы, чувак не думал, он просто воевал на диване). Вряд ли он такой один веселый, просто самый известный случай, а быть «строчкой в статистике» как-то не в моих планах.(детали можно на хабре поискать, если интересно)
3. Права по умолчнию на исполнение в каталоге пользователя? (думал такое только в винде)

Тк “виндузатьник до корнеи волос”, то в форточках у меня просто настроены "локальные политики” на исполнение только из определенных директорий, подписанных или не подписанных файлов (в зависимости от директории) + антивирус на минималках

Чтобы повторить такой уровень безопасности в линукс. что следует сделать и на что следует обратить внимание?

Изначально Федора не устанавливалась с картои 3060, зависала на запуске гнома. Отключил, установил на карте встроенной в процессор. Загрузился. Установил драйвер nvidia . Выключился, включил карту nvidia, при загрузке ошибка, в журнале

Failed to switch root:path '/sysroot' dose not seem to be an OS tree. os-release file is missing.
Initrd-swirch-root.service: failed with results 'exit-code'
Failed to start initrd-switch-root.service - Switch Root.

И загружается в sh (если я не ошибаюсь) где нет dnf и как переустановить драйвер непонятно

Опции grub

Load_video
Set gfxpayload=keep
Insmod gzio
Linux ($root)/vmlinuz-6.5.11-300.fc39.x86_64 rd.driver.blacklist=nouveau mo\
dprobe.blacklist=nouveau nvidia-drm.modeset=1
Initrd ($root)/initramfs-6.5.11-300.fc39.x86_64.img