Нормально ли такое поведение для PaX

Генту используете? Вообще-то нужно смотреть, как ядро скомпилено (там включен xattars или нет для пакса) и как фс примонтирована.
Например, я не храню в xattrs, храню в заголовках эльфов.
Я так понимаю, что у Вас pax использует именно хранение в заголовках.
Что касается softmode - а можно сообщение, как именно он убивает процессы?
https://wiki.gentoo.org/wiki/Hardened/PaX_flag_migration_from_PT_PAX_to_XATTR...

Чем кончилось?

Убрал некоторые опции, а вообще это адекватное поведение, т.к. что не разрешено, то запрещено.

Убрал некоторые опции

У меня все активны, всё нормально работает. Смысл использовать PaX с половиной отключенных опций?

а вообще это адекватное поведение, т.к. что не разрешено, то запрещено.

Даже в softmode?

Походу, т.к. инфы по нему толком нет.

Ты ff как собирал? Он у меня на этапе обработки js падает с pax. Кстати, какие опции в ядре для pax выставил?

Ты ff как собирал?

Как обычно, с hardened gcc.

Он у меня на этапе обработки js падает с pax

В смысле при сборке или при запуске? Если при сборке, то такого быть не должно, если при запуске, то нужно делать paxctl -zm /usr/bin/firefox , и для других приложений, которые падают (у меня много чего из KDE падает) - тоже. Проще всего вести скрипт, куда писать всё, что падает. При пересборке запускаешь скрипт и всё.

Use filesystem extended attributes marking - вот эту отключил.
MAC system integration (direct)
Всё остальное включено. Ещё одна опция выключена (PAX_MEMORY_SANITIZE), т.к. она не работает (заблокирована), если включена возможность гибернации (опция отвечает за очистку памяти при высвобождении), PAX_MEMORY_UDEREF, PAX_PER_CPU_PGD, PAX_CONSTIFY_PLUGIN, PAX_KERNEXEC тоже заблокированы из-за поддержки Xen. Ну и архитектурозависимые фитчи отключены, т.к. они заблокированы.

На сервере все эти опции должны быть включены, т.к. реально добавляют безопасности (единственное, я не нагуглил про PAX_PER_CPU_PGD, но пофиг, т.к. она включается, как зависимость).