完全なサンドボックス環境を実行している場合、chroot 監獄は非常に安全ではない可能性があります。攻撃者はカーネル機能に完全にアクセスでき、たとえばドライブをマウントして「ホスト」システムにアクセスできます。
linux-vserver を使用することをお勧めします。 linux-vserver は、内部に完全な debian がインストールされた、改善された chroot 監獄として見ることができます。単一のカーネル内で実行され、すべてのコードがネイティブに実行されるため、非常に高速です。
私は個人的にすべてのサービスを分離するために linux-vserver を使用していますが、パフォーマンスの違いはほとんど目立ちません。
インストール手順については、linux-vserver wiki を参照してください。
よろしく、デニス
xardias の言うことには賛成ですが、代わりに OpenVZ をお勧めします。
これは Linux-Vserver に似ているため、この方法を使用する場合は、これら 2 つを比較することをお勧めします。
プロキシ http サーバー (nginx) を使用して Web サーバーをセットアップしました。これにより、トラフィックが (ホスト名または要求されたパスに基づいて) さまざまな OpenVZ コンテナーに委任されます。各コンテナー内で、Apache またはその他の Web サーバー (nginx、lighttpd など) をセットアップできます。この方法では、すべてに対して 1 つの Apache を使用することはできませんが、サービスの任意のサブセット (プロジェクトごとなど) 用のコンテナーを作成できます。 /P>
OpenVZ コンテナは完全に簡単に更新できます ("for i in $(vzlist); do vzctl exec apt-get upgrade; done")
さまざまなコンテナのファイルがハードウェア ノードに格納されているため、ハードウェア ノードに SFTP 接続することで、これらのファイルに簡単にアクセスできます。 いくつかのコンテナーにパブリック IP アドレスを追加し、そこに SSH をインストールして、コンテナーから直接アクセスします。SSH プロキシからも聞いたことがあるので、その場合でも追加のパブリック IP アドレスは不要かもしれません。
いつでも仮想マシン内にセットアップしてイメージを保持できるため、必要に応じて再ロールできます。このようにして、サーバーは実際のコンピューターから抽象化され、ウイルスなどは仮想マシン内に封じ込められます。前に言ったように、イメージをバックアップとして保存しておけば、以前の状態に簡単に復元できます。