Так есть же и SELinux, и AppArmor, огораживайся — не хочу.

Не примут. Выглядит как говно. И реализация говно. Читай ссылку:

http://lkml.iu.edu/hypermail/linux/kernel/1705.3/04543.html

SELinux за вечер не осилишь, например.

То есть из-за каких-то неосиляторов надо пилить NIH?

Если этот NIH будет опционален и доступен для желающих - почему бы и нет.

А различать как бинарники?
Если по полному имени ( путь от /, имя и расширение), то нафиг такое.

А ели хеши - то их где-то еще и хранить нужно.
В таком случае, надежнее уж SecureBoot и на юзерспейс притянуть, чтоб выполнялисьб только подписанные бинари.

А вообще, скрипты так не отловишь, например

Да, предлагают по хешам.

А вообще, скрипты так не отловишь, например

Один из недостатков.

Осиль за два вечера.

WhiteEgret requires a user application called WhiteEgret User
Application (WEUA, for short). WhiteEgret utilizes the
bprm_check_security hook and the mmap_file hook.
WhiteEgret asks WEUA whether an executable component hooked
by the above hooks is permitted to execute or not.

Ой, то есть вся секьюрность на самом деле обеспечивается юзерспейс-приблудой? Кто будет следить за приблудой? Что помешает устроить race condition, пока ядро ждёт ответа от юзерспейса?

И вообще, зачем с таким подходом лезть в ядро? Можно ж тогда сделать свой особенный ld.so, который будет проверять загружаемые бинари после загрузки в память и абортировать процесс, если ему что-то не нравится.

However, because shared objects do not
invoke execve system call, WhiteEgret utilizes the mmap_file
hook to hook the memory mapping by a shared object.

То есть от специально обученного dlopen(), который вместо mmap(PROT_EXEC) делает mmap() + mprotect(), тоже не защитит.

If it exists, the WEUA compares a hash value of the executable
component indicated by the absolute path with that in the
whitelist to see whether the executable component is changed
or not after the whitelist is made.

Боль и страдание (и потенциальная дырень) при обновлении системы. Плюс совсем не защищает интерпретаторы (скрипты, JVM, JavaScript).

Выбор не ограничивается SELinux жи. Тебе на выбор еще AppArmor, TOMOYO, SMACK есть.

Guix

Здесь кто-то сказал Guix?

Нет, я вовсе не агитирую за winegret или как его там. Просто уже есть ОС в которой все программы по хешам.

Ой, то есть вся секьюрность на самом деле обеспечивается юзерспейс-приблудой?

Подход виндовых антивирусов, чо. Позже, для надежности придется перехукать всю систему, чтоб самозащиту организовать. Так и получится Kaspersky internet security)