Но на атрибутах, наверно, тоже можно сделать.
Можно, но для этого придётся менять права на всех выполняемых файлах. А
после установки новых пакетов или обновления страх придётся эту операцию
повторять.
Не так страшен чёрт...
С возможностью рекурсивного обхода каталогов можно за 5 минут
написать скрипт (скажем apply_policy.sh), который будет выставлять
запрет на запуск всех исполняемых файлов (кроме указанных в
отдельном конфиге) для группы скажем restrict (куда и включить
всех нужных пользователей).
--
С уважением, Виктор
