"nagyjából ez a jó pattern mindenféle könyv szerint is." nagyjából. Mondjuk /var meg /tmp nosuid,noexec,nodev mounttal azért egy támadó életét kellően meg tudja nehezíteni, úgyhogy ha "onnan nézzük", ezeket célszerű külön kezelni.