Ну давайте поразмышляем еще.
> 1. кроме веб-сервера там будет открыт как минимум ssh
2. еще вы там веб-мин запустить хотите порт у него 10000 (или 1000 не помню, не пользовался никогда)
ipfw add allow tcp from 192.168.1.0/24 22 to me
ipfw add allow tcp from me 22 to 192.168.1.0/24
...
#или как-то аналогично... идея ясна.
> 3. если вы все хотите закрыть mod_security то нафига фаервол?
Не понял мысль. mod_security защитит от опасных запросов к web-серверу. А ipfw разграничит доступ к портам сервера.
>4. картинки при заливке проверяются на тип и никакой ПХП код в нормальной картинке не спрячешь, к тому же они используются только в параметре img src и ни как более. Если сайт пытаетс выполнить картинку как код - криворукость программиста.
Не редкая криворукость. При желании могу поделиться лично с Вами домашним видеом с ФОСа как это происходит.
>5. chroot теперь думаю имеет смысл в свете 1 и 2, к тому же есть много файлов к которым желательно доступ закрыть даже из скриптов на сервере. /etc/passwd /etc/sysconfig/iptables.... соответсвенно их вообще не должно быть в файловой системе для apache (/etc/passwd нужно оставить только 1 строчку про apache)
В целом так, но при условии использования нормальных паролей доступ злоумышленика к /etc/passwd и даже к /etc/shadow бессмыслен. /etc/sysconfig/iptables доступ только root и его группе. Для учетной записи apache он будет недоступен и так. Т.е. chroot это наверное будет лишним...
>6. Да и объясните мне как вы хотите защититься от выполнения произвольных скриптов на сервере ФАЕРВОЛОМ?????????? не путаете ли вы его со встроенной системой SELinux...
Да не, фаерволл защитит от несанкционированного открытия /bin/sh на заданном злоумышлеником порту, открытого при помощи web-скрипта.
>7. все примеры, описаные вами выше, решаются втавлением рук програмиста из жопы к плечам. Потенциально опасные команды должны защищаться и перепровертьс тщательно.
Это так, но увы... ) В таком случае не было бы и в продуктах Microsoft (Эксперты); и Zk не старался бы установить последнюю версию этого форума и т.д. ) Ошибки, как следствие, человеческого фактора, вечны Для интереса хорошо наблюдать за лентой новостей типа http://securitylab.ru , вижно что даже профессионалы делают такие тупые ошибки иногда.
>8. PSAD - защита от сканирования. Представим ситуацию кто-то запускает nmap xspider... и чтобы заблокировать поток данных от них как раз и будет работать psad. Нушно/ненужно - не навязываю, просто как альтернатива snort
Да, всё больше сомневаюсь в смысле установки snort, ведь никто проверять отчеты не будет ) Для внешнего мира будет открыто только 80й порт: mod_security не умеет защищать от частого запроса страниц?
P.S.
Мы так выведем оптимальную политику для проекта )