Po długiej batalii o bezpieczeństwo 3 publicznych stacji roboczych (docodząc do paranoi w stylu totalnie ograniczony windows server) doszedłem do wniosku że najlepiej będzie jednak bootować je po sieci w trybie read-only – wówczas trzeba by się włamać na serwer, co już nieco łatwiej ograniczyć. Wystarczy teoretycznie postawić coś co wystawia storage i tyle. I tu zaczyna się zabawa – w TFTP, iPXE, NFS.
Pewien nieodpowiedzialny maintainer Arch Linuxa popenił commit 61ba5c961e4a3536c4bbf41edb348987a9993fdb do pacmana (menadżera pakietów) usuwający parametr asroot, który zezwalał na ryzyko użytkownika kompilować pakiety jako root.