Barrapunto

La primera, parece que por fin se va a poder "hibernar" el sistema.

Llegará un día en que sea posible, pero a día de hoy ninguna de las dos implementaciones alternativas existentes podríamos calificarla siquiera de calidad alfa. En algunos casos funciona regular, en otros mal, en otros directamente no funciona y en el peor de los casos se te cepilla los datos. Mal negocio de momento, así que cuidado.

La segunda es el modelo de seguridad, que cambia del "modo root" a la gestión de "capacidades".

El tema de los "capabilities" creo que existe desde tiempos de 2.2.x, pero ahora al integrarse LSM (Linux Security Modules) se dispone de una API estable para que mediante la carga de módulos del núcleo se puedan implementar restricciones (no permisos aumentados, sólo restricciones) arbitrarias en la ejecución de ciertas llamadas al sistema y otras operaciones del núcleo.

Hasta ahora todo esto se ha venido haciendo con parches para el núcleo, como LIDS o grSecurity, de manera que algunos proyectos (LIDS, SElinux) ya están disponibles integrados en este mecanismo, pero otros no (grSecurity), porque hacen más cosas que una simple restricción de acceso a ciertas operaciones.