Apache и безопасность

Возможные способы защиты:

• Настройка средствами самого Apache.
  • Пользователь и группа, под которыми работает апач.
  • Права на папки.
  • Директивы типа AllowOverride и т.д.
  • Болтливость сервера: ServerSignature Off и ServerTokens Prod
  • Отключаем ненужные модули апача
• ModSecurity - отбиваем атаки
• Suhosin - защита PHP
• mod_chroot - пихаем веб-сервер в песочницу
• mod_ruid2 или apache2-mpm-itk - каждый сайт работает под своим пользователем, учитывая что mpm-itk работает очень медленно
• Закрываем доступ к админкам CMS и важным папкам при помощи .htpasswd и .htaccess , а файлы с паролями - ставим владельцем root:root и права -rw-r–r– (644). Критичные файлы можно вообще закрыть от чтения.
• AppArmor - и в довершении всего полируем этим

• http://www.xakep.ru/magazine/xa/106/154/1.asp