سلام.
در مورد اول من CXS خودم نصب نکردم ولی یکی دو جا هم دیدم یادم نمیاد همچین قابلیتی داشته باشه.CXS اکثر exploit های پابلیک را میشناسه.حالا شما اگر اکسپلویتی داری که نمیشناسه کافیه بفرستی واسه configserver تا اونا توی دیتابیسش add کنند.
/etc که معمولا خودش دسترسی مناسب داره.فقط /tmp و چند جای دیگه هست که باید secure بشه.البته اگر /tmp را درست تنظیم نکنی ممکنه mysql از کار بیفته.
nosuid و noexec معمولا تنظیم می کنند.
ببینید ۹۰ درصد سرورها لوکال هک میشن ! شما اگر منظورت از شل از این اسکریپت های وب شل هست تنها راه چاره mod_sec هست البته با rule های تجاری و به روز !
همیشه هم با یک cron فولدرهای 777 داخل /home را چک کن و در موارد غیر ضروری ۷۷۷ نده.
سعی کن کاری کنی که هکر اصلا نتونه ازت شل بگیره ، چون اگر گرفت تقریبا کارت تمومه !
یه زمانی ما میگفتیم کرنل های EL روت نمیشن یا سخت روت میشن اما الان دیگه اینقدر اکسپلویت پرایوت زیاد شده که هر کرنلی روت میشه.