nálam speciel úgy van, hogy schroot környezetben fut a böngészőm és a chat progi. a torrentet is ide tenném.
ennél a felállásnál ugye nem a chroot-on belüli folyamatok vannak védve a külsőtől, hanem fordítva. ha kompromittálódik a chat kliens vagy a böngésző, az bezárva marad.
kernel sebezhetőségnél, ahol privilégium szint emelés érhető el, ez sem tuti.
ezen kívűl hosts.deny-ban ALL:ALL van, tűzfalnál az input és forward tiltva van teljesen, és nem fut egyetlen szolgáltatás sem. ez már nem paranoia, hanem egyszerűen nincs semmi amire szükségem van. de ha lenne, akkor is jó tűzfallal azért szépen be lehet szabályozni.
ha megéri a chroot-os vesződséget neked, akkor szívesen odaadom a script-emet ami megcsinálja a teljes schroot környezetet + leveszi a suid biteket az összes benne lévő binárisról stb.
egyébként a live cd is úgy jó azért, ha netbankolás előtt egy update megvolt imho :)