Не зря советуют читать man-страницы даже для уже знакомых вам команд. Там зачастую можно найти что-то интересное. В качестве шпаргалки на будущее опишу здесь маленький приём, который я оттуда вычитал.
# mount -o nodev,noexec,nosuid /dev/sda3 /tmp
Так мы увеличили объём работы, которую предстоит выполнить взломщику для проникновения в систему. Флаг «только для чтения» ставим везде, где запись требуется редко (или не требуется вовсе). Один из таких каталогов — это /usr (если программное обеспечение обновляется и меняется не так часто). Можете выставлять более широкие права тогда, когда вам это нужно, а в остальное время — только для чтения.
Ещё смешнее дело обстоит с /home. Он, естественно, должен быть доступен и для чтения, и для записи. Однако маловероятно, что вам, обычному пользователю, потребуется возможность запустить двоичных файлов SUID или создания файлов устройств в собственном домашнем каталоге. Запускаем программы, находящиеся в домашнем каталоге, очень редко. Следовательно для вашего «дома» используем приведённую выше команду без изменений.
В /tmp и /var редко какой-то процесс выполняет двоичные файлы или обращается к файлам устройств. Отсутствие таких прав сделает невозможной (или просто усложнит?) работу для трояна в таких общих каталогах. Вредоносную программу можно будет так установить, а вот запустить — нет.
Ещё анекдот для улыбки:
Юмор Кавказа
— Арсенчик, у тебя было 16 мандаринок, Алеша попросил у тебя 6. Сколько мандаринок у тебя осталось?
— Шестнадцать…)