Az AllowOverride-ot természetesen mindig lehetséges minimumon tartom.
A chroot-ról annyit hogy egy másik helyen használtam már, de csak a helyet foglalja. Most mit védek azzal egy VPS-en? Az összes többi szolgáltatás kapcsolódik hozzájuk(mysql,postfix). Tehát ha a chroot-ba bejutottak akkor már olyan mindegy.(max annyi hogy ha loop partícióra rakom a /var/www-t, akkor ott partíció szinten tudom tiltani a futtatást, ha minden kötél szakad lehet hogy itt is megcsinálom, csak nehéz előre kiszámítani hogy mekkora legyen a loop partíció, aztán meg méretezhetem át folyton)
"A system, exec, shell_exec és passthru függvényeket is tiltod ugye?:)"
Az a sendmail paracs használatát szabotálná. Vagy mégsem?