najo SELinux is ordentlich aufwand, da du sogar so ziemlich jede ressource auf die nutzer zuschneiden kannst, viel arbeit für nicht unbedingt viel mehr sicherheit. grsecurity (enthält bereits pax) is da relativ komfortabel, nur kommen anwendungen ala wine und xorg/xfree nicht mit pax klar. pax is eh nur ne krücke die die mängel der x86 architektur in den griff bekommen will. mit den userland tools zu pax kannste zum glück einige anwendungen von dem schutz befreien. pax halbiert dir nebenbei auch noch den addressraum, was heutzutage auf 32bit kisten schon ziemlich heavy ist. auf den 64bittern hingegen is das weniger das problem, nur is da pax nahezu sinnfrei, da amd64 bereits ähnliche speicherschutzmechanismen in hardware hat und diese direkt von kernel und gcc genutzt werden. am ende bleiben dann nur die randomisierung für tcp id's und ressourcen, die aber auch nicht immer problemfrei sind. SSP is soweit zu empfehlen, solltest dann aber nicht die optimale performance erwarten (für server natürlich egal). mit gentoo haste das ganze relativ problemlos aufgesetzt.