Les jails chroot peuvent être très peu sécurisées lorsque vous exécutez un environnement sandbox complet. Les attaquants ont un accès complet aux fonctionnalités du noyau et peuvent, par exemple, monter des disques pour accéder au système "hôte".
Je vous suggère d'utiliser linux-vserver. Vous pouvez voir linux-vserver comme une prison chroot améliorée avec une installation complète de Debian à l'intérieur. Il est très rapide car il s'exécute dans un seul noyau et tout le code est exécuté de manière native.
Personnellement, j'utilise linux-vserver pour séparer tous mes services et il n'y a que des différences de performances à peine perceptibles.
Consultez le wiki linux-vserver pour les instructions d'installation.
Cordialement, Denis
Je suis d'accord avec xardias, mais je recommande OpenVZ à la place.
Il est similaire à Linux-Vserver, vous voudrez peut-être comparer ces deux lorsque vous emprunterez cette voie.
J'ai configuré un serveur Web avec un serveur proxy http (nginx), qui délègue ensuite le trafic à différents conteneurs OpenVZ (en fonction du nom d'hôte ou du chemin demandé). À l'intérieur de chaque conteneur, vous pouvez configurer Apache ou tout autre serveur Web (par exemple, nginx, lighttpd, ..). De cette façon, vous n'avez pas un Apache pour tout, mais vous pouvez créer un conteneur pour n'importe quel sous-ensemble de services (par exemple, par projet).
Les conteneurs OpenVZ peuvent être mis à jour assez facilement ("for i in $(vzlist); do vzctl exec apt-get upgrade; done")
Les fichiers des différents conteneurs sont stockés dans le nœud matériel et vous pouvez donc y accéder assez facilement en SFTPing dans le nœud matériel. En dehors de cela, vous pourriez ajoutez une adresse IP publique à certains de vos conteneurs, installez-y SSH, puis accédez-y directement à partir du conteneur. J'ai même entendu des proxies SSH, donc l'adresse IP publique supplémentaire pourrait être inutile même dans ce cas.
Vous pouvez toujours le configurer à l'intérieur d'une machine virtuelle et en conserver une image, afin de pouvoir le relancer si nécessaire. De cette façon, le serveur est séparé de votre ordinateur réel et tout virus ou autre est contenu à l'intérieur de la machine virtuelle. Comme je l'ai déjà dit, si vous conservez une image en tant que sauvegarde, vous pouvez restaurer votre état précédent assez facilement.