Možná by stálo za to se na to víc podívat. Udržovat AA profily není žádný problém. Může se stát, že díky striktnímu profilu aplikace po aktualizaci nenaběhne, ale v AA se to ladí velmi snadno. Já takhle funguju už roky a "náročné" bylo jen se to naučit (no asi den jsem tomu věnoval), pak jsou změny v pohodě. AA je fakt pěkný.
Ono jsou věci, které člověk sám optimálně neošéfuje (kvalita algoritmů, bezpečnost systémových aplikací atp.), jsou věci, které jsou fajn, když udělá sama apka (drop capů, sandbox atp.) a jsou věci, které nikdo neudělá líp, než Vy sám (právě ochrana dat v HOME a izolace aplikace), částečně proto, že to s sebou přináší jisté nepohodlí (nějaká "super fíčura" nemusí fungovat, webové aplikace prostě nevidí do dokumentů, protože tam prostě prohlížeč nesmí) a to nikdo neudělá by default, a taky je každý systém jiný a každý uživatel má data jinak. Představa, že se mi někdo univerzálně postará o 100% bezpečnost mého systému je naprosto naivní, ale když chci tomu pomoct, Linux ty nástroje má, Widle ne.
ono to bude přímo souviset s tím jaké aplikace používáš. Udržovat AA profily je určitá práce navíc a musíš na ní myslet a je to stejně jen řešení na půl cesty, nelze tím selektovat síťové komunikace, nelze tím snadno podchytit programy, které spouštíš poprvé, takže běžná práce je si vše spouštět v sandboxu a podle prvního chování si vygenerovat AA profil. Pak stačí jednou aplikaci spustit přímo nebo nepohlídat profil a máš bezpečnostní problém na světě. Jako nástroj pro servery, kde mám nějakou přípravnou fázi, testovací a produkční to je přijatelné, ale pro desktop? Není to zatím ono. Ano, také to používám, právě proto si nedokážu představit, že to někomu představím jako řešení.
Izolace aplikací v rámci jednoho účtu je na Mac OS nebo Windows řešena lépe, tam to ale zabíjí řada jiných chyb, na linuxu ty chyby nejsou, protože neexistují komponenty, které by je mohli obsahovat. Už jen to, že AA lze obejít přes eBPF je dost velká divnost v návrhu, ano, končí to deaktivací eBPF.
AA nebo Selinux jsou velice dobré nástroje, o tom žádná, ale pro desktop, kde si chci v prohlížeči pouštět videa, nahrávat soubory, programovat v IDE, kompilovat programy, scriptovat v pythonu, instalovat conda balíčky je to dost komplikované a nepřipravené, aspoň teda pro mě.