Установите ff_flags для всех идентифицированных каталогов в значение search_only
и read_only. Флаг search_only означает, что вы получите доступ к любому объекту
в каталоге только при условии, что вы знаете его полное название, и что вам
не позволено что-либо модифицировать в этом каталоге.
Установите read_only для всех идентифицированных исполняемых файлов в отдельности.
Флаг read_only обозначает, что каталог со всеми его подобъектами доступен в
режиме <<только для чтения>>.
Если вам необходим доступ к каталогу на чтение, то удалите флаг search_only.
Флаг read_only при этом остается.
Если каталог содержит только исполняемые файлы и не содержит сценариев оболочки,
то вы можете использовать для него флаг execute_only. Это означает, что все
файлы, находящиеся в этом каталоге, могут быть выполнены, но не могут быть прочитаны
или скопированы. (В ALT Linux Сastle - при настройке замкнутой
программной среды для сценариев используется read_only для всех остальных -execute_only)