pl. a /home simán mehet nosuid,nodev, a /var/log ezen felül még noexec és hasonlók...
Erre SELinux is jó. És lehet így faragni a dolgokat, de personal desktop esetén sok értelme nincs, nem nagyon tudsz mutatni feltört Linux gépeket, mert nem volt noexec flag a /var/log alatt...