Eine Sache gibt es, die man sich von Android abgucken kann: für bestimmte Anwendungen und Aktivitäten kann man sich verschiedene Benutzer einrichten. Z.B. einen Benutzer "banking", einen "multimedia", einen "office".
Und wenn durch eine Lücke unter dem Account "multimedia" zuschlägt, dann ist nur dessen Browserprofil und Daten betroffen. Sofern die Lücke keine höheren Privilegien aufmacht.
Und zum Komfort legt man sich auf seinem Hauptaccount ein paar VerknĂĽpfungen hin, damit z.B. Firefox oder LibreOffice mit dem entsprechenden Account gestartet werden.
Das ist im wesentlichen, was Android macht, damit eine App nicht gleich alle anderen Daten absaugen kann, wenn ein Leck aufreiĂźt.
Weiters sollte man sich mal mit AppArmor oder SELinux beschäftigen, was die Distro halt beinhaltet.
Wenn man da etwas Zeit reinsteckt, hat man sogar gewisse Sicherheit gegen zero day exploits und da kommt dann auch kein Windows mehr mit.