Le prigioni chroot possono essere davvero insicure quando si esegue un ambiente sandbox completo. Gli aggressori hanno accesso completo alle funzionalità del kernel e, ad esempio, possono montare unità per accedere al sistema "host".
Suggerirei di utilizzare linux-vserver. Puoi vedere linux-vserver come una prigione chroot migliorata con un'installazione completa di debian all'interno. È molto veloce poiché viene eseguito all'interno di un singolo kernel e tutto il codice viene eseguito in modo nativo.
Personalmente uso linux-vserver per separare tutti i miei servizi e ci sono solo differenze di prestazioni appena percettibili.
Dai un'occhiata al wiki linux-vserver per le istruzioni di installazione.
saluti, Dennis
Condivido ciò che dice xardias, ma raccomando invece OpenVZ.
È simile a Linux-Vserver, quindi potresti voler confrontare questi due quando segui questa strada.
Ho configurato un server Web con un server http proxy (nginx), che poi delega il traffico a diversi contenitori OpenVZ (in base al nome host o al percorso richiesto). All'interno di ogni contenitore puoi configurare Apache o qualsiasi altro server web (ad esempio nginx, lighttpd, ..). In questo modo non hai un Apache per tutto, ma puoi creare un contenitore per qualsiasi sottoinsieme di servizi (ad esempio per progetto).
I contenitori OpenVZ possono essere facilmente aggiornati del tutto ("for i in $(vzlist); do vzctl exec apt-get upgrade; done")
I file dei diversi contenitori sono archiviati nel nodo hardware e quindi puoi accedervi abbastanza facilmente tramite SFTP nel nodo hardware. A parte questo, potresti aggiungi un indirizzo IP pubblico ad alcuni dei tuoi container, installa SSH lì e poi accedi direttamente dal container. Ho anche sentito parlare dei proxy SSH, quindi l'indirizzo IP pubblico aggiuntivo potrebbe non essere necessario anche in quel caso.
Puoi sempre configurarlo all'interno di una macchina virtuale e conservarne un'immagine, in modo da poterlo ripetere se necessario. In questo modo il server viene estratto dal tuo computer reale e qualsiasi virus o simili sono contenuti all'interno della macchina virtuale. Come ho detto prima, se conservi un'immagine come backup puoi facilmente ripristinare lo stato precedente.