Как рекурсивно извлекать файлы, но хранить их в своих папках?

У вас уже есть несколько хороших ответов, но они не касаются одной части вашего поста.

As far as I can tell, the world execute permission on /usr/bin/su is the only avenue for users attempting to gain root on my server.

Это опасное предположение. Если вы установили хороший пароль для root, то в большинстве случаев гораздо более вероятно, что успешное повышение привилегий будет связано с использованием ошибки в ядре или двоичном файле setuid (, который вы, конечно, также можете удалить. бит setuid из них, но passwd- это setuid, и если вы хотите обеспечить высокий уровень безопасности, вы также должны предлагать это своим пользователям, и отказ им в возможности смены пароля несовместим с этим ).