AppArmor, SELinux и прочие системы мандатного контроля доступа позволяют вам очень тонко ограничить привилегии программы, отслеживать большинство её действий, а также получать уведомления, если вдруг программа начала делать что-то нестандартное, что никогда ранее не делала.
Скажем, AppArmor позволяет гранулярно ограничить доступ до заданных директорий, capabilities, системных вызовов, сетевых соединений (с точностью до протокола, IP-адреса и порта), общей памяти, разделять поведение процессов родителя и детей.
С помощью профилей AppArmor можно «прикрыть» проблемы безопасности в старом неподдерживаемом ПО, зарезав какие-то типичные действия эксплоита (вызовы system() и execve(), открытие сокетов, например), или банально, если это самостоятельно написанная программа, в безопасности которой вы не уверены, написать профиль с абсолютно всеми используемыми вызовами, файлами и библиотеками, а при совершении программой нестандартных действий записывать лог аудита, по обнаружении записи в котором другая программа будет останавливать демон, снимать дамп и завершать его работу до выяснения обстоятельств взлома.
Более реалистичный и практически полезный сценарий: нужно сделать папку, в которой нельзя удалять файлы. Не sticky bit на папку, а прямо чтобы никто не мог в ней удалять файлы, только создавать. Решение: блокируем вызов unlink() через AppArmor. Задача решена.