>> Объединить много маленьких в большие с помошью метапакетов намного проще, чем выдрать из большого пакета куски софта.
> Имхо, это вообще не правильное направление движения. Лепить из потенциально по-разному
> собранных частей одной программы/набора программ своего франкенштейна - зачем?
> Не проще ли обеспечить возможность собраться и так и эдак и иметь
> возможность взаимозаменяемо использовать их в системе?

Почему "по-разному собранных частей"? Смысл в том, что тогда есть оф. и одним куском, так как задуманно разработчиками, собранная база. Но благодаря опакечиванию можно не устанавливать пакет с компилятором или пакеты с дебагсимволами.
Для упрощения поисков багов можно сделать какой-нибудь официальный "так должна выглядеть система по нашему представлению", т.е. перед багрепортом ставишь все то, что по мнению разработчиков должно быть в системе.
А не идешь заменять свою кастомную установку полностью.

> Ничего не понял, особенно про 400Gb. Какие 400Gb?

Там MB были! Видимо, шутник модератор тайно подменил ))

>> Может и вру про 2GB, но близко - в основном урезан компилятор, вынесено всякое разное вида zfsтулз, mlxtools, bluetooth, профайл и дебагсимволы и оно этими 315МiB размером в пожатый релизный образ FreeBSD-12.0-RELEASE-arm-armv7-RPI2.img.xz
> https://download.freebsd.org/ftp/releases/amd64/amd64/12.0-R... -
> 147 метров, какие 2Gb? На диске побольше будет, да, метров 200-300.

Нет, речь конкретно вот об этом:
https://download.freebsd.org/ftp/releases/arm/armv7/ISO-IMAG.../
FreeBSD-12.0-RELEASE-arm-armv7-RPI2.img.xz     307371508
Т.е. пожатый исошник весит 307 MB и распаковывается в 2 или 4 GB.
А приведенная в качестве примера кастомная сборка, с компилятором в базе - после установки всего 315МБ.

Ну и лукавите вы немного с размером в вашем примере:
> 147 метров, какие 2Gb? На диске побольше будет, да, метров 200-300.

xz -l base.txz
Strms  Blocks   Compressed Uncompressed  Ratio  Check   Filename
    1      33    147,2 MiB    772,5 MiB  0,191  CRC64   base.txz
А на диске под все 800 будут.

>> Либо оно не используется, но им может воспользоваться нападающий. Тоже классика жанра.
> Нападающий воспользуется дырой в не запущенном демоне? Не рассажешь, как например?

Принципиальные примеры:
https://gist.github.com/hugsy/5933831 - даже если вы не пользуетесь ping, SUID у него никто не отбирал. Т.е. получаем классическое "privilege escalation" из nobody в рута.

Или как сдесь:
https://www.opennet.ru/opennews/art.shtml?num=47792
>  выявлена серия уязвимостей, которые могут быть использованы локальным атакующим для запуска кода с правами ядра через загрузку специально оформленного eBPF-приложения.

Про уязвимости в старых драйверах думаю можно не упоминать, а их в GENERIC тоже много загружается.

>> Вообще-то это  делается в первую очередь для отсева деятелей "50 ответов спустя: а да, забыл сказать, что я прописал еще тучу опций в make.conf и собрал часть c помошью дев-версии кланга, а другую с GCC".
> Это не противоречит тому, что написал я.

Не противоречит, но акценты расставлены по разному. Грубо говоря, убирание той же zfs-обвязки при неиспользовании zfs и сборка с "-O3" или новейшим компилятором - на мой взгляд две большие разницы.
И если для второго я в принципе согласен с разработчиками "сначала попробуйте собрать нормально", то вот для первого пересборка всего и вся все же перебор.

>> Возможность поставить нужную конфигурацию из кирпичиков оф. сборки, без заимения всех этих "_твоих проблем_" на ровном месте - это как раз в плюс.
> Ты эти "кирпичики" будешь всё равно собирать все вместе единовременно, во время  сборки базы. Хочешь "кирпичики" из N разных баз - будешь собирать
> N разных баз. И не факт, что результат будет работоспособный.

Не-не-не. Зачем кирпичики из N баз?
Речь о кирпичиках в виде готовых пакетов из той самой, одной официальной фряшной базы, собранные так, как представлялось правильным разработчикам.

Просто не таскать всегда и повсюду все "кирпичики" (см. дебагсимволы) а только нужную часть.

Что любители экзотики пусть собирают и поддерживают свои хотелки сами, я даже не спорю. Но вот объявлять любой "шаг влево-вправо" (например отсутствие в базе vi или mlxtools или дебагсимволов) экзотикой, как это по факту делается сейчас - это по-моему тоже крайность.