一种基于 Linux 内核定制的安全方案，请大佬指点

以前玩游戏的时候，听说过一种防盗版方案：游戏部分场景必须联网，因为相关代码和资源在服务端。

基于这个代码补全的方法，设计了一种公网 Linux 服务器的安全方案。

木马病毒的存在位置有两种：内存或磁盘（文件、数据库等多种持久化存储形式。为描述方便，以下用文件代替）。由于未知漏洞的存在，不让恶意代码进入内存是不可能的。那么，能否让它不能写入本地文件呢？这个应该是可行的。等应用代码部署完成、未发布到公网前，通过 Linux 内核热补丁等方式，把内核中写文件的代码【从 syscall 入口到磁盘驱动】这条调用链上的代码随机选择一段砍掉。这样，除非补全这段代码，没有一个字节能再写入文件。

对 socket 系统调用，也在内核层作限制：可以接受并处理外部连接请求。但只能主动连接内网某个特定IP，无法主动连接外网IP（也可以通过防火墙实现，但这种内核定制的方式更保险）

当然，应用也需要适配这种安全机制。

安全菜鸟一枚，请大佬指点。