Barrapunto

La segunda es el modelo de seguridad, que cambia del "modo root" a la gestión de "capacidades". Parece que esto incluso tendrá consecuencias en la licencia de distribución:

"Otro cambio en la seguridad es que los módulos binarios (drivers de fabricante, por ejemplo) no pueden "sobrecargar" las llamadas del sistema con las suyas propias: la tabla de llamadas del sistema está ahora oculta. Como resultado, se restringe bastante lo que los módulos propietarios pueden hacer en el kernel, y posiblemente se cierren algunos agujeros legales en la licencia GPL."

La primera, parece que por fin se va a poder "hibernar" el sistema.

Llegará un día en que sea posible, pero a día de hoy ninguna de las dos implementaciones alternativas existentes podríamos calificarla siquiera de calidad alfa. En algunos casos funciona regular, en otros mal, en otros directamente no funciona y en el peor de los casos se te cepilla los datos. Mal negocio de momento, así que cuidado.

La segunda es el modelo de seguridad, que cambia del "modo root" a la gestión de "capacidades".

El tema de los "capabilities" creo que existe desde tiempos de 2.2.x, pero ahora al integrarse LSM (Linux Security Modules) se dispone de una API estable para que mediante la carga de módulos del núcleo se puedan implementar restricciones (no permisos aumentados, sólo restricciones) arbitrarias en la ejecución de ciertas llamadas al sistema y otras operaciones del núcleo.

Hasta ahora todo esto se ha venido haciendo con parches para el núcleo, como LIDS o grSecurity, de manera que algunos proyectos (LIDS, SElinux) ya están disponibles integrados en este mecanismo, pero otros no (grSecurity), porque hacen más cosas que una simple restricción de acceso a ciertas operaciones.