Принуждение голубятни использовать TLS не работает
Часто, Вы запускаете фактические веб-приложения в своем веб-сервере (php, жемчуг, безотносительно). Это веб-приложения обычно имеет доступ для записи к некоторому каталогу в корне документа для загрузки материала.
Теперь, могла бы быть ошибка в Вашем веб-приложении, которое позволит взломщику создавать произвольные файлы в Вашем веб-корне (и затем вероятно, символьные ссылки также). Это могло бы даже быть возможно, когда у Вас нет фактического компонента загрузки, но просто ошибки. Эти ошибки не то, что редкий, что необходимо проигнорировать их. Особенно приложения как Wordpress имеют довольно долгую историю этого вида ошибок.
Теперь, когда взломщик может создать файлы и символьные ссылки в Вашем веб-корне, он может позволить тем символьным ссылкам указать на произвольные файлы на Вашем веб-сервере (/etc/passwd, файлы конфигурации с паролями в виде открытого текста...), который наконец мог означать, что взломщик может загрузить все эти файлы и использовать собранную информацию для дальнейших нападений, как атаки с подбором по словарю на пароле SSH, простой санкционированный доступ к Вашей базе данных...),
При ограничении Apache для не следования за символьными ссылками, этот вектор атаки намного более трудно использовать. Другой, одинаково важные меры безопасности состоят в том, чтобы ограничить доступ для чтения только к абсолютно необходимым файлам для веб-сервера / пользователь веб-приложения. Вы могли также использовать сервер внешнего приложения (распространенный с Python и рубиновыми приложениями, но также и с установками fcgi) и выполнять это с другим пользователем, чем базовый пользователь веб-сервера. При ограничении доступа к важным файлам между этим пользователем и пользователем веб-сервера можно получить уровень довольно высокой безопасности.
Другая альтернатива была бы к chroot Вашим апачем к корню документа, в этом случае операционная система гарантирует, что процессы Apache не могут получить доступ ни к каким файлам вне корня документа. Обратите внимание, что этого довольно трудно достигнуть с пакетами в общих дистрибутивах.
Я думаю, вам нужен
disable_plaintext_auth = yes
вместо
disabled_plain_text = yes
. Если вы действительно хотите убедиться, что никто не будет пытаться войти в систему в виде открытого текста, используйте только неявный SSL, то есть порт 993 и не слушайте порт 143.