lighttpd biztonságossá tétele hogyan?

a minap gondoltam egyet, és felraktam itthonra egy lighttpd-t, hogy majd akkor extra.hu helyett majd itthon lesz a lapom. hát némi szopás után sikerült is forrásból feltelepíteni...
sőt, még akár működik is :)
annyiban kérném a tanácsotokat, hogy hogyan tudnám "biztonságossá" tenni a dolgot? mivel abszolút nem értek hozzá (még), de egy picit sem... csak hallok mindenféle dolgokat, hogy feltörik x szervert, szét@sszák y oldalt, mysql injection, meg ilyen egyéb kínai szövegek :) és én nem nagyon szeretném, ha bvelem is ilyen történne...
eddig a következőket tettem, nem tudom, ez elég-e vagy egyáltalán értelme van-e? (nekem jó ötletnek tűnt :D)
- mivel nincs mysql és nem is szeretném, ezért eleve mysq nélkül fordítottam a cuccot
- valami php csomag is kellett volna neki, amit meg se találtam, de mivel php sem lesz, ezért azt se fordítottam bele
- perl dettó
- csak és kizárólag statikus html oldalak vannak, semmiféle szkriptelés nincs és nem is lesz
- a fordítási kapcsolókat elnézegettem, amiről úgy gondoltam, hogy az nem kell, azt nem forgattam bele
- a lighttpd egy olyan userrel és csoporttal fut, akinek shellje /bin/false, és a documentroot könyvtárra van read-only joga. írási nincs, sehova.
- a konfigban kikapcsoltam minden modult, csak az accesslog meg az access van engedélyezve.
- url.access-deny = ( "~", ".inc", ".php", ".cgi", ".fcgi", ".pl", ".js", ".rb" )
van ezeknek értelme? mit lehet még tenni?

( log69 | 2010. 01. 29., p – 19:24 )

schroot környezet + debootstrap? + suid-bitek kivétele chroot-on belüli binárisokból.

esetleg még cron-ból futtatni rekurzív md5sum-ot a www mappára időnként, és ha gáz van akkor mail. :)

( bsh | 2010. 02. 01., h – 08:02 )

hmmm... 

85.125.223.96 85.xxx.xxx.xxx - [30/Jan/2010:12:21:01 +0100] "GET //includes/general.js HTTP/1.1" 403 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
85.125.223.96 85.xxx.xxx.xxx - [30/Jan/2010:12:21:02 +0100] "GET //zencart/includes/general.js HTTP/1.1" 403 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
85.125.223.96 85.xxx.xxx.xxx - [30/Jan/2010:12:21:02 +0100] "GET //admin/includes/general.js HTTP/1.1" 403 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
85.125.223.96 85.xxx.xxx.xxx - [30/Jan/2010:12:21:02 +0100] "GET //zen/includes/general.js HTTP/1.1" 403 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
85.125.223.96 85.xxx.xxx.xxx - [30/Jan/2010:12:21:02 +0100] "GET //cart/includes/general.js HTTP/1.1" 403 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
85.125.223.96 85.xxx.xxx.xxx - [30/Jan/2010:12:21:02 +0100] "GET //ZenCart/includes/general.js HTTP/1.1" 403 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
85.125.223.96 85.xxx.xxx.xxx - [30/Jan/2010:12:21:02 +0100] "GET //shop/includes/general.js HTTP/1.1" 403 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
80.13.39.101 - - [30/Jan/2010:16:45:55 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 349 "-" "-"
88.191.77.91 85.xxx.xxx.xxx - [31/Jan/2010:17:22:50 +0100] "GET HTTP/1.1 HTTP/1.1" 404 345 "-" "Toata dragostea mea pentru diavola"
88.191.77.91 85.xxx.xxx.xxx - [31/Jan/2010:17:22:51 +0100] "GET /domain_default_page/index.html HTTP/1.1" 404 345 "-" "Toata dragostea mea pentru diavola"

----------------------------------
feel the beat - it's everywhere!