No estoy de acuerdo con la idea de que chroot es difícil, simplemente no es apropiado para todo. Para un entorno pequeño, con un servidor que aloja más de un entorno web, chroot es extremadamente poderoso y proporciona controles sobre la separación y la prevención de escalamiento. Gestionarlo no es un gran problema de recursos.
Si tiene un entorno de escala empresarial, es menos probable que use chroot (ya que se vuelve difícil de manejar en un entorno grande), pero es probable que tenga controles alternativos que pueden incluir monitoreo en profundidad, IDS / IPS, en capas cortafuegos y SIEM.
Yo clasificaría mod_security como un elemento esencial (para los servidores web que lo tienen o una funcionalidad equivalente): es una capa adicional de defensa que es fácil de implementar y para la mayoría de los casos de uso no causa un impacto significativo. p>
chroot y mod_security, así como los firewalls, etc., son solo capas de seguridad que pueden ayudar a prevenir un ataque o, al menos, retardarlo, por lo que aumenta la probabilidad de que lo detectes antes de que cause demasiado daño (asumiendo que también monitoreando ... otro control)