Milyen szempontokat kellene figyelembe vennem egy linux webszerver biztonságossága kapcsán?

A docker kontéreknek tudtommal más felhasználása van, nem erre való.

DDOS figyelést, naplózási szinteket, telepítési jogköröket állítsd be például.

Ha a maximális biztonságra szeretnél menni, akkor chroot -olva fusson minden felhasználó, a webszrver programba pedig korlátoz minden shell script exec műveletet, és a weboldal se tudjon kilépni a saját könyvtárából.

Ezen felül minden közös dolognak ügyelj, hogy a felhasználó ne tudja módosítani, tehát maximum olvasás és futtatási joga lehet, de sok esetben még olvasási se.

és a python2 -t véletlen se telepíts, annak hibájával ki lehet lépni a chroot -ból, és root joggal lehet műveletet végrehajtani.

A docker is csak egy eszköz, hasonló a chroot -hoz, csak kicsit lazább.

A docker az inkább a virtuális gépre hasonlít (egy picit) és nem a chroot-hoz.

A chroot egyébként nem számít komoly biztonsági lépésnek:

[link]

A docker konténerrel sokkal jobban lehet izolálni egy folyamatot. Az egyes szolgáltatásokat én kipakolnám konténerekbe...

Ja és a fail2ban megfelelő beállításáról ne feledkezz meg. Sok kéretlen kereső is meg szokta találni az oldalakat és a robots.txt-t figyelmen kívül hagyva felindexelnek mindent... sűrűn. Gyakorlatilag olyan irreális terhelést okoznak ezzel mint egy kisebbfajta DDOS.

Egyébként én elgondolkodnék valami ISPConfig féle felületen, ha több felhasználót kell kezelni. Könnyebb mint mindent kézzel állítgatni.

ISPconfig-ot fel ne rakd, az is további biztonsági rés.

Fail2ban viszont jó ötlet. Illetve GitHub-on van egy magyar srác fejesztése, a neve "Portscan Protection", azt is érdemes felrakni.