For det første vil jo ikkje kildekoden i PHP-filer bli vist om du har konfigurert webserveren din rett. Den vil vise output frå PHP. Dvs. at variabler og alt slikt ikkje er synleg. Om det ikkje er tilfelle har du konfigurert webserveren feil.

Uansett er det ingen grunn til at configfiler skal vere tilgjengeleg over HTTP. Plasser dei utanfor webroot, eller hiv på ein directory-stanza som forbyr tilgang

Om du plasserer dei utanfor webroot, men ein plass apache-brukeren har lesetilgang kan du fortsatt lese dei med include().

Forøvrig treng du ikkje å bytte kjerne på Ubuntu for AppArmour. Meg bekjent støtter Ubuntu AppArmour by default, og bruker det på t.d. MySQL. Viare er det første du må gjere å definere opp trusler, for å kunne beskytte deg mot dei. Det er stor skilnad på å beskytte seg mot ein som har eit lokalt shell og ein som kun har tilgang via HTTPS.

Pathnames er ikkje noko eg hadde gidda å bruke energi på å skjule. Om pathnames røper kritisk informasjon om applikasjonen din har du gjort ting feil uansett.