> если стандартные меры действенны то их надо внедрять повсеместно Так внедряют. Если озадачиться вопросом и изучить его, окажется что ALSR, W^X, различные защиты стека и т.п. со стороны компилера и прочая - уже давно внедрены в более-менее цивильных дистрах.
> хацкеры в курсе что от рута обычно не сидят и задумываются об
> обходе этого умолчания - но это же не повод сидеть под рутом !
И много вы линуксоидов видели которые в крейсерском режиме под рутом сидят? Линукс прекрасно юзабелен из-под лимитированного юзера. И как правило
> так почему например по дефолту все пакеты должны иметь доступ к конфигам
> других пакетов в ~/.config/ ?
Потому что пакеты может вкатывать только рут (что логично - а чего это некто левый будет софт в системе тасовать?). Пакетный менеджер - программа с повышенными привилегиями. Она может совершать административные действия. Это зачастую попросту необходимо для установки пакетов.
И да, вы не должны инсталлировать недоверяемые программы. В том числе и через пакетный менеджер. Если вы не доверяете репозиторию - просто не используйте его. А если вы ставите недоверемую программу, она так или иначе может вас поиметь, заэнфорсив какую-то вредную или нежелательную для вас логику поведения. Как еще понятнее это объяснить - я не знаю. Если надо нечто заведомо проблемное - ну гоняйте его на виртуалочках, как это те же аверы делают, например. Желательно на отдельном изолированном хосте, на случай если пакость шибко борзая и каким-то чудом виртуализатор прошибет, мало ли, баги все-таки везде бывают.