Mondjuk /var meg /tmp nosuid,noexec,nodev mounttal azért egy támadó életét kellően meg tudja nehezíteni, úgyhogy ha "onnan nézzük", ezeket célszerű külön kezelni.
Sokat nem érsz ezekkel, a legtöbb támadás pont ezért shell script alapú vagy meghívható a bináris is ugyanígy indirekt, szóval a támadó úgy megy át ezeken, mint meleg kés a vajon, csak magadat szopatod adott esetben. Ami kockázatos, azt tedd konténerbe, onnan alapvetően nehéz kijönni és kellően biztonságos tud lenni...