Eigentlich möchte man auf Servern /tmp mit nodev,noexec,nosuid mounten. Leider spuckt einem bzgl. noexec das Debian Paketverwaltungsgespann apt/dpkg ordentlich in die Suppe.
Mit einen Workaround lässt sich aber auch /tmp mit der Option noexec mounten. Mann muss nur apt/dpkg sagen, dass es /tmp bevor es mit der Arbeit beginnt ohne noexec remounten soll, und nach getaner Arbeit wieder mit noexec.
Dies lässt sich ganz brauchbar über die Datei /etc/apt/apt.conf erledigen:
DPkg::Pre-Install-Pkgs {"mount -o remount,exec /tmp";}; DPkg::Post-Invoke {"mount -o remount /tmp";};