Maximal/Extrem gehärtet bedeutet doch u.a. nur noch Port 22 und 443 bleiben offen.
Aber ISPConfig braucht schon einige Ports mehr: Port 8080 (ISPConfig-Webinterface), Port 25, 465, 587, 110, 143, 993, 995 für Mail, für TCP/UDP Port 53 und für FTP Port 21.
Dann gibt es noch neben dem Thema der sudo-Policies, chmod 700 auf Systemverzeichnisse, noch die PHP-Restriktionen, die man machen müsste. Aber ISPConfig braucht bestimmt globale Funktionen wie exec(), passthru(), shell_exec() oder popen().
Linux-Kernel mit Grsecurity / PaX härten. Aber dann könnten u.a. Speicherzugriffe gestört werden.
Mir fällt noch ein: /var und /tmp müssten auch gesichert (noexec) werden, so dass dort nicht geschrieben und ausgeführt werden dürfte. Ich weiß nicht, welche erwünschten Installer dann noch out-of-the-box laufen werden.
Ich hatte es früh das extreme-hardening irgendwann sein gelassen und mich auf das beschränkt, was in der perfect server-Anleitung aufgeführt wurde. Das ist auch eine solide Grundlage, von der man ausgehen kann und immer nochmal nachjustieren kann.
Nachrag:
Bei dem Thema FTP habe ich schon öfter überlegt, eine zentrale Web-FTP-Lösung den Kunden anzubieten und dann FTP auf den localhost zu beschränken. Aber da hatte ich noch keine Zeit das mal auszuprobieren.
