Esqueça os mitos sobre como o Chroot não é um recurso de segurança ... ele é integrado como um recurso de segurança em aplicativos comuns de todos os tamanhos e tipos por um motivo
O OpenVZ é basicamente o Chroot on Steroids, e isso deve, ou será, tudo o que você precisa. contanto que seja feito em conformidade com os padrões de configuração do Chroot e o procedimento típico.
Geralmente, se você está simplesmente tentando fornecer uma camada adicional de segurança para o NGinx, use o Chroot. Você está principalmente tentando fornecer privacidade entre os usuários fazendo isso ou fornecendo segurança de sistemas de gerenciamento de conteúdo mal codificados.
isso ajuda a proteger, por alguns pequenos exemplos, contra ataques de passagem de diretórios, bugs de inclusão de arquivos remotos ou a execução de aplicativos no sistema básico. ele também pode ajudar a proteger contra qualquer vulnerabilidade conhecida, desconhecida ou futura do NGinx, contendo danos ao diretório Chroot.
com isto dito, no entanto, certifique-se de proteger seu sistema base, e verificar qual versão do NGinx seus repositórios do sistema operacional estão usando, e compará-lo com quaisquer avisos de segurança que estejam atualmente disponíveis para o NGinx. talvez você queira compilar para a versão estável mais recente e usá-la.
existe um aplicativo útil da R-FX Networks que pode ajudar a proteger contra alguns tipos de ataques contra um daemon em execução, sem usar o AppArmor ou o SELinux. É chamado de SNIV .
para mais informações sobre o motivo pelo qual o Chroot ainda é uma ferramenta de segurança totalmente válida nos dias de hoje; veja esta resposta Eu dei recentemente para uma explicação mais completa deste cenário.