Sup!

Wenn Du den Apache partout nicht als root starten willst, dann laß den Apache unter einem unpriviligierten User-Account laufen, binde ihn an einen anderen Port, z.B. 8765, aber nur für die IP-Adresse 127.0.0.1 (localhost). Dann baust Du mit iptables bzw. ipchains ein Port-Forwarding, daß extern Port 80 auf 127.0.0.1 Port 8765 umleitet.

Möglicher Seiteneffekt: Der Apache könnte eine etwas andere Meinung über die REMOTE_IP_ADDRESS haben als im Normalbetrieb.

Gute Idee! Die hatten wir nämlich auch gehabt... und im Notfall machen wir das auch.
Naja, der Apache ist eigentlich ziemlich safe, und wenn die capabilities einigermassen funktionieren, dann ist das insgesamt schon wesentlich sicherer als die meisten Sachen.

Eben. So löcherig wie der Apache ist. Nimm besser gleich den IIS, da kann auch keiner im Quelltext nach Sicherheitslücken suchen. ;-))

Grrrr! Den Server hat unsere Linux-Gruppe hart erkämpft, den geben wir doch nicht der Novell bzw. Windoof-Gruppe zurück! ;-)

Gruesse,

Bio