"piccole" considerazioni sulla sicurezza

[Pol Hallen <sbocco@fuckaround.org>]

Ciao a tutti :-)

Avrei bisogno di uno scambio di idee circa una tematica di sicurezza dei vari 
servizi quali httpd, openvpn, etc.

Tralasciando il discorso firewall, aggiornamenti, autenticazione, etc. mi 
domando:

alcuni servizi vengono avviati da utenti fittizi, nel mio caso specifico:

httpd da www-data
openvpn da root
courier da root
squid da proxy

devo presumere (ad esempio) che se un bug di sicurezza di squid venisse 
sfruttato, il tizio avrebbe accesso come utente proxy quindi con tutte le 
restrizioni del caso.

Ma per il discorso openvpn (che da ps vedo e' attiva da root)? con lo stesso 
ragionamento avrebbe a disposizione una root shell..

E apache?
da ps vedo:
root      2078  0.0  0.4  10908  4364 ?        Ss   Apr04   
0:00 /usr/sbin/apache
root      2095  0.0  0.4  10964  4396 ?        Ss   Apr04   
0:00 /usr/sbin/apache-ssl
www-data 26658  0.0  0.1   4704  1096 ?        S    Apr06   
0:00 /usr/lib/apache-ssl/gcache 33 /var/run/gcache_port
www-data 26659  0.0  0.9  18076  9900 ?        S    Apr06   
0:03 /usr/sbin/apache-ssl

in questo caso avrebbe una root shell o una shell come www-data?

idem per courier che e' attivo come root.

C'e' modo (per questi servizi openvpn, courier, etc.) avviarli da utente 
fittizio e non da root o devo per forza mettere in chroot tutto?

E ancora: come chroot ho sempre usato jailkit (non presente negli archivi 
debian), c'e' qualcosa di piu' "sicuro"?

Grazie
Pol