Je me décide à mettre nodev nosuid noexec sur mes montages (sauf root et /usr).
Je crois que j'avais tenté déjà il y a quelques années, mais je me rappellais plus que noexec entrainait tant de problèmes.
 
1) Je commence dès l'installation de la distrib.
Peu de temps après, boum, erreur dans /var.
Je décide de revenir en arrière, et de faire l'installation complète sans restrictions.
 
2) Une fois l'installation finie, je met les options dans fstab.
Pareil qu'avant : nodev nosuid et noexec partout sauf root et /usr.
Reboot, tout va bien. Système stable, rien à signaler    
 
Puis je commence à installer un logiciel : boom, erreur dans /var
Hmmm, qu'est-ce qu'on disait sur Windows déjà ? Qu'il fallait arrêter d'utiliser des .exe pour les installations de logiciels ?...  Ouais, ce serait pas mal...  
 
3) Je met dans l'eau dans mon vin, ce sera :
nodev nosuid partout sauf root et /usr
noexec partout sauf root, /usr et /var    
 
Puis je commence à installer Nginx :
boum, erreur Can't exec "/tmp/fontconfig-config.config.blabla1234
Putain, mais les lourds quoi....
 
Je décide de dégager nginx-full au profit de nginx-light :
boum, erreur Can't exec "/tmp/nginx-common.config.blabla1234
 
Mais sérieusement ???    
 
J'aurais bien redirigé /tmp sur /var, mais dans ce cas autant éliminer la partition /tmp au profit d'un /var/tmp...
Pour couronner le tout, noexec ne concerne que les binaires, donc un cybercriminel peut quand même scripter partout.
On peut résoudre ce problème proprement, ou il faut abandonner noexec ?