Non sono d'accordo con l'idea che il chroot sia difficile - non è appropriato per tutto. Per un ambiente di piccole dimensioni, con un server che ospita più di un ambiente Web, chroot è estremamente potente e fornisce controlli sulla separazione e sulla prevenzione dell'escalation. Gestirlo non è un enorme problema di risorse.
Se si dispone di un ambiente su scala aziendale è probabile che sia meno probabile l'uso di chroot (poiché diventa ingombrante in un ambiente di grandi dimensioni), ma è probabile che si disponga di controlli alternativi che possono includere il monitoraggio approfondito, IDS / IPS, a strati firewall e SIEM.
Vorrei class mod_security come essenziale (per i web server che lo hanno o funzionalità equivalente) - è un ulteriore livello di difesa che è semplice da implementare, e per la maggior parte dei casi d'uso non causa un impatto significativo.
chroot e mod_security - così come i firewall ecc. sono tutti solo livelli di sicurezza che possono aiutare a prevenire un attacco o almeno rallentarlo, aumentando così la probabilità che lo individuate prima che causi troppi danni (presumendo che anche tu sia monitoraggio ... un altro controllo)