wizja alternatywy dla noexec

Od 5 lat myślę jak można by zrealizować następującą funkcjonalność:

Włączyć możliwość wykonywania skompilowanego kodu tylko dla niektórych lokalizacji, poszczególnych plików wykonywalnych czyli inaczej pozwolenia na dostęp do dynamic linkera (http://en.wikipedia.org/wiki/Dynamic_linker) tylko dla poszczególnych plików binarnych. Można to ładnie i skutecznie zrealizowac montując system plików z flagą noexec, ale omg to działa na cały system plików! Z tego co wiem nikt nie pomyślał nad dodaniem takich możliwości do acl-ek obsługiwanych np. na ext3. W sudo wymyślili uruchamianie określonych programów z programem wskazanym przez LD_PRELOAD, ale to jest mało użyteczne jako że nie chodzi mi o su,sudo, uniemożliwia to odpalanie tylko dalszych procesów (child) wykonywalnych a nie wskazanych.
Najlepszym miejscem na zrealizowanie tego o czym mówie pewnie byłyby acl-ki albo exttr przez kod w kernelu. Jeśli ktoś potrafił by takiego patcha napisać na kernela to mógłbym za to dać kilkaset złotych. Pewnie jednak całe życie będę się nad tym jeszcze głowić.
Ew. może dało by się napisać swój program kontrolujący stuff gdyby dało się wymusić LD_PRELOAD na każdym uruchamianym procesie przez usera. Nie widze jednak chyba żadnej takiej możliwości. Childy tego procesu też by musiały mieć ten sam LD_PRELOAD hm