Я сделал из всего такие выводы:
1. noexec не защищает данные пользователя (python, java, скрипты он не остановит).
2. noexec, проставленный везде куда пользователь имеет права на запись может остановить от эксплоитов повышающих права (поскольку это скорее всего не скрипты а исполняемый код) и от win-вредоносов запускающихся через wine если они каким-либо образом проникнут в систему - например через уязвимость браузера.
3. Таким образом, если устанавливать noexec, то как минимум на:
/home
/tmp
/var/tmp
/var/spool/samba
(перемонтировав /var/tmp и /var/spool/samba на tmpfs)
Для root делать свой отдельный tmp чтобы не сломалось как минимум обновление ядра (см. что писал выше про make-initrd).
4.Имеет смысл создать отдельного пользователя без пароля для интернет-серфинга. Залогиниться из консоли он не сможет, но от его имени можно запустить браузер без риска для своих файлов (даже если какой-то зловредный скрипт запустится он будет ограничен домашним каталогом этогопользователя в котором нет ничего ценного).
5. если нужно что-то собирать, компилить и пр. создаем под это дело отдельного пользователя (с домашним каталогом, смонтированным без noexec)