Но на атрибутах, наверно, тоже можно сделать.Можно, но для этого придётся менять права на всех выполняемых файлах. А после установки новых пакетов или обновления страх придётся эту операцию повторять.
Не так страшен чёрт... С возможностью рекурсивного обхода каталогов можно за 5 минут написать скрипт (скажем apply_policy.sh), который будет выставлять запрет на запуск всех исполняемых файлов (кроме указанных в отдельном конфиге) для группы скажем restrict (куда и включить всех нужных пользователей). -- С уважением, Виктор