а почему в этом чате по разработке и технологиям обсуждается стройка в лесу?

Распределенная стройка - имхо не оффтоп.

Пришла в голову интересная мысль, ведь все современные линукс дистрибутивы имеют огромную "точку отказа" в виде репозитория. Теоритически, при подмене какого либо популярного пакета, допустим с gparted или чем то еще, что запускается от рута, можно добиться массового заражения, в том числе и серверов. И вот вопрос, а как в современных реалиях создать дистрибутив, в котором ты будешь сам искать и устанавливать программы, не создавая проблем для безопасности, корректности работы системы(то есть устанавливать, используя пакетный менеджер) и чтобы это было удобно...

иметь большой диск и качать локально себе пакеты - самим проверять и запускать новые версии

Либо надеется что сходство хэш-суммы файла даст тебе какие то гарантии

бери корпоративный дистриб

nixos возможно ближе всех пока приблизилась к ответу

Я лично для себя пока выделил несколько правил:
1. Пакеты должны компилироваться из исходников и браться напрямую из репозиториев создателей.
2. Убрать возможность как либо работать от рут и заранее встроить все инструменты, которые могут пригодиться для настройки в дистрибутив и дать им конкретные права на работу с тем с чем они должны работать. Все бинарники будут храниться только у пользователя в домашней директории.
3. Сделать фаерволл, который будет разрешать только некоторым программам выходить в интернет.

Ну и еще система работы программ как в андроиде, где у каждой свой контейнер и доступа к данным пользователя нет, НО она может получить файлы только по разрешению на доступ к конкретной папке/файлу.

Еще кубесы, но с другой стороны. Там просто дрочат на рассадку по виртуалкам. Хостовая ос при этом минимально используется и имеет минимум пакетов, но да - надо доверять мантайнерам qubes os как минимум для хостовой ос

Ну да, и еще к мною вышеперечисленному сборка из исходников)

ну в принципе можно попробовать собрать из сырцов кубесы рутовые и потом их не обновлять (потому что там реально секьюрити патчти редко бывают из-за минимального образа)

ещё амазон недавно выпустил свой линукс для серверов.

там всё рассажено по контейнерам и у рута нет ничего. всё через апи

но она серверная

Тогда и хостовую машину самому паять, да и микросхемы травить по маскам чтоб закладок железных не было

мне он кстати не понравился концептуально. очередной вендорлок

ну это уж каждый решает сам на сколько параноить

Самому кремний добывать в шахте, а то вдруг рептилоиды подсунут с нанозакладками

Это да, у меня в последнее время яндекс мои запросы начал считать как автоматические и я чет нервничаю)