Las cárceles de Chroot pueden ser realmente inseguras cuando ejecuta un entorno de sandbox completo. Los atacantes tienen acceso completo a la funcionalidad del kernel y, por ejemplo, pueden montar unidades para acceder al sistema "host".
Le sugiero que use linux-vserver. Puede ver linux-vserver como un chroot jail mejorado con una instalación completa de Debian en su interior. Es realmente rápido ya que se ejecuta dentro de un único kernel y todo el código se ejecuta de forma nativa.
Yo personalmente uso linux-vserver para la separación de todos mis servicios y solo hay diferencias de rendimiento apenas perceptibles.
Eche un vistazo a la wiki de linux-vserver para obtener instrucciones de instalación.
Saludos, Dennis
Secundo lo que dice xardias, pero recomiendo OpenVZ en su lugar.
Es similar a Linux-Vserver, por lo que es posible que desee comparar esos dos cuando siga esta ruta.
Configuré un servidor web con un servidor proxy http (nginx), que luego delega el tráfico a diferentes contenedores OpenVZ (según el nombre de host o la ruta solicitada). Dentro de cada contenedor puede configurar Apache o cualquier otro servidor web (por ejemplo, nginx, lighttpd, ..). De esta manera, no tiene un Apache para todo, pero puede crear un contenedor para cualquier subconjunto de servicios (por ejemplo, por proyecto). /P>
Los contenedores de OpenVZ pueden actualizarse por completo fácilmente ("for i in $(vzlist); do vzctl exec apt-get upgrade; done")
Los archivos de los diferentes contenedores se almacenan en el nodo de hardware y, por lo tanto, puede acceder a ellos fácilmente mediante SFTP en el nodo de hardware. Aparte de eso, podría agregue una dirección IP pública a algunos de sus contenedores, instale SSH allí y luego acceda a ellos directamente desde el contenedor. Incluso he oído hablar de proxies SSH, por lo que la dirección IP pública adicional podría ser innecesaria incluso en ese caso.
Siempre puede configurarlo dentro de una máquina virtual y mantener una imagen de él, para que pueda volver a ejecutarlo si es necesario. De esa manera, el servidor se abstrae de su computadora real, y cualquier virus o similar está contenido dentro de la máquina virtual. Como dije antes, si mantiene una imagen como copia de seguridad, puede restaurarla a su estado anterior con bastante facilidad.