> Видимо, вы просто плохо понимаете, как работает Linux.Не линукс а искусственные довески к нему в виде всяких SELinix-ов и прочие мандатные системы. Нужные в основном всяким FBI и прочим у которых в правилах так записано: должен быть мандатный контроль. Ну а раз в правилах записано - или вынь и полож, или они эту систему юзать не будут. Насколько мандатный контроль защищает от напастей - вопрос далеко не однозначный.
> Контейнеры дают ровно такую же защиту, как и LSM-based MAC (в частности, selinux).
Практика показала что даже несколько лучшую. Во всяком случае, этот ваш selinux срубается реально существующими сплойтами в 2 счета(ищите новости о повышении прав в линухе, там же и сплойты были). А в контейнерах сплойт вообще не срабатывает, для начала. Это так, небольшая проверка теории практикой. Я допускаю что в некоторых случаях возможен и слом механизмов контейнерной изоляции. Однако возможностей для этого меньше, имхо. Потому как контейнер может быть минимальным, хорошо мониторимым и удобных точек атаки типа пульсаудио и прочих радостей там может и не быть. Даже под рутом.
> В этой ситуации защитить могут только над-ядерные методы - гипервизор (xen)
Логично, НО бывают еще и уязвимости в гипервизорах :-).Хотя в силу меньшего размера стоит ожидать что их там меньше.
> тогда забудьте о такой вещи, как мандатный контроль доступа.
Как-то похоже на оправдания. Как по мне - сравнимая (если не более хорошая) изоляция частей системы делается иными, менее геморными методами. А с MAC пусть всякие FBI сношаются, у которых подобных средств правила работы с документами и т.п. требуют.