Chroot-Jails können wirklich unsicher sein, wenn Sie eine vollständige Sandbox-Umgebung betreiben. Angreifer haben vollen Zugriff auf die Kernel-Funktionalität und können beispielsweise Laufwerke mounten, um auf das "Host"-System zuzugreifen.
Ich würde vorschlagen, dass Sie linux-vserver verwenden. Sie können linux-vserver als verbessertes Chroot-Gefängnis mit einer vollständigen Debian-Installation darin sehen. Es ist wirklich schnell, da es in einem einzigen Kernel läuft und der gesamte Code nativ ausgeführt wird.
Ich persönlich verwende linux-vserver zur Trennung aller meiner Dienste und es gibt nur kaum wahrnehmbare Leistungsunterschiede.
Werfen Sie einen Blick auf das linux-vserver-Wiki für Installationsanweisungen.
Grüße, Dennis
Ich stimme dem zu, was xardias sagt, empfehle aber stattdessen OpenVZ.
Es ist ähnlich wie Linux-Vserver, also sollten Sie diese beiden vergleichen, wenn Sie diesen Weg einschlagen.
Ich habe einen Webserver mit einem Proxy-http-Server (nginx) eingerichtet, der dann den Datenverkehr an verschiedene OpenVZ-Container (basierend auf dem Hostnamen oder dem angeforderten Pfad) delegiert. In jedem Container können Sie Apache oder jeden anderen Webserver (z. B. nginx, lighttpd, ..) einrichten. Auf diese Weise haben Sie nicht einen Apache für alles, sondern können einen Container für eine beliebige Teilmenge von Diensten erstellen (z. B. pro Projekt).
OpenVZ-Container können ganz einfach komplett aktualisiert werden ("for i in $(vzlist); do vzctl exec apt-get upgrade; done")
Die Dateien der verschiedenen Container werden im Hardware-Knoten gespeichert und können daher ganz einfach per SFTP in den Hardware-Knoten darauf zugreifen. Abgesehen davon könnte Fügen Sie einigen Ihrer Container eine öffentliche IP-Adresse hinzu, installieren Sie dort SSH und greifen Sie dann direkt vom Container aus darauf zu. Ich habe sogar von SSH-Proxys gehört, sodass die zusätzliche öffentliche IP-Adresse möglicherweise sogar in diesem Fall unnötig ist.
Sie können es jederzeit in einer virtuellen Maschine einrichten und ein Image davon behalten, damit Sie es bei Bedarf erneut rollen können. Auf diese Weise wird der Server von Ihrem tatsächlichen Computer abstrahiert, und alle Viren usw. sind in der virtuellen Maschine enthalten. Wie ich bereits sagte, wenn Sie ein Image als Backup aufbewahren, können Sie Ihren vorherigen Zustand ganz einfach wiederherstellen.