Mod_Security och Mod_Evasive ser jag som att det är lösningar när man har installerat programvara på www-servern som innehåller/kan innehålla säkerhetshål och liknande.
Tycker personligen att Mod_Security falsklarmar lite väl mycket - speciellt eftersom Mod_Security inte kan veta om det är förväntat att exempelvis användaren skall kunna mata in SQL på en viss sida till exempel (säg en adminpanel).
Mao istället för att installera Mod_Security och Mod_Evasive - välj den programvara som ska köras på hemsidan med rejäl urskiljning. Kolla CVE's, kolla säkerhetshål, kolla versioner, kolla omdömen m.m. och gör ett informerat val om vilken programvara du vill använda.
När det gäller alla de saker du installerat för att förhindra att servern används för oärliga ändamål, tycker jag är riktigt riktigt onödigt.
Skulle föreslå istället:
1: Ta en liten enhet - säg ett ALIX board, installera m0n0wall, och konfigurera BÅDE egress och ingress så som du vill att det ska vara (beroende på vad som körs för applikationer på servern så kan du behöva kontakta ett API och då kanske du måste ha 443 öppet utåt)
2: Installera din server som en liveCD. Remastra live-CDn så att var/www-mappen ligger "utanför" det skrivskyddade filsystemet.
Därefter installerar du hela klabbet på ett SD-kort. Ett SD-kort har en sådan liten switch så du kan hårdvaruskrivskydda kortet. Använd ihop med en USB-kortläsare som faktiskt stödjer skrivskyddsflaggan. Alternativt ett USB-minne med skrivskyddsknapp men dessa är rätt ovanliga.
Observera att /var/www blir inte oskyddad bara för att du lägger den utanför det skrivskyddade filsystemet. Som sagt, hela klabbet läggs på ett skrivskyddat kort. Skillnaden blir att utanför /var/www-mappen, så kommer ändringar tillåtas temporärt (som skrivs till en RAMDisk) men rensas varje reboot.
I mappen som ligger utanför det skrivskyddade filsystemet (men som ligger på samma skrivskyddade kort) så kommer inte ändringar tillåtas över huvud taget - inte ens temporära.
Genom att lägga /var/www utanför, så blir det lätt för dig att uppdatera hemsidan utan att du för den skull behöver remastra hela live-CDn för det.
3: (Överkurs) Lägg till ett relä som kan styras över USB - tex detta:
http://sigma-shop.com/product/7/usb-...annel-box.html
Skriv sedan ett script till din m0n0wall, som sluter resetpinnen på din serverburk i 1 sek så fort m0n0wallen detekterar ett obehörigt anropsförsök på någon utgående port.
4: Konfigurera m0n0wallen vettigt - se till att webinterface och sådant är spärrat - kör istället att du öppnar/stänger interfacet från ett lokalt tangentbord/skärm.
Då har du i stort sett ett vattentätt system. Minsta försök att installera trojaner, RFI's, LFI's eller liknande som försöker "ringa hem", så kommer reläet att starta om din server vilket kommer rensa bort eventuella skadliga script då lagringsutrymmet är skrivskyddat.