Нужно понимать что в /tmp эта запись не будет касаться perl или *sh скриптов,
которие - как минимум... спамомёты./tmp ufs rw,noexec
Немного отступая от статьи.
Есть такой человек как Robert Watson, фактически кроме него, и проекта (его-же) trustedbsd.org мало кто пишет о системе MAC. (замечу, в handbook это есть)
Во всех подобных статьях есть только небольшие заметки-огрызки о части MAC - bsd.see_other_uids, bsd.see_other_gids в sysctl.conf
А, ИМХО система MAC - это и есть то - первое место куда нужно пристально вглядываться, эсли есть определённого вида беспокойство.
Кроме этого в этой, да и прочих статьях о "бронировании" не упоминается о таких любопытных штуках - как и кем собираются порты в FreeBSD. (посмотрите в сторону OpenBSD, о том что проскакивало тут-же на OpenNET - от Michael Shigorin c Alt`a о ./configure, etc)
По моему скромному мнению самое важное|первое это
1. Не дырявое ПО которое своей попой смотрит в "мир" (sockstat -l, netstat)
2. Как это ПО настроено (права)
3. Что вариться и какое качество кода в этом ПО - как самый-самый тупой пример - "динамические" страницы и наш веб сервере. (это может быть и сервер приложений и т.д. и т.п.)
П.С.
Наиболее свежие идеи с "бронированием FreeBSD" за последние время я встретил только у Andrey Yakovlev`a freedom@ - описанные в UAFUG, связанные с фильтрацией/логированием "изнутри" по uid/gid с флагaми TCP (хотя это и часть - man ipfw)