>в других системах bind может быть как chrooted так и не chrooted,
>в этом случае /etc/named.conf - это не симлинк, а настоящий файл. Это понятно, просто мне лично системы, где bind до сих пор по умолчанию не в чруте, априори неинтересны/неправильны.
>кроме того, как быть с тем, что "chroot is not and never
>has been a security tool" ?
Наш security officer замечен в симпатии к пустым readonly чрутам, а также чрутам без бинарников с suid/sgid, в которых код выполняется с уже пониженными после запуска привилегиями; смею заверить, что в таких случаях chroot -- это достаточно серьёзное дополнительное препятствие. Хоть и не панацея, как и контейнеры.
Но это не о том...