Se a segurança é sua preocupação, tenha em mente que o httpd no OpenBSD é chrooted por padrão , o que significa que, em caso de comprometimento potencial do seu servidor web, o invasor permanecerá no chroot jail do seu servidor, isolado do resto do sistema, minimizando os efeitos da violação.
No que diz respeito às opções de montagem, você pode montar as partições onde os binários não devem ser executados como noexec (por exemplo, diretórios user / home). Você também pode considerar ativar as opções de montagem nosuid e nodev onde aplicável. Verifique a página de manual monte para obter mais informações.
Você também pode usar um shell restrito como rbash em conjunto com o chroot jailing de daemons.