Hello! Предлагаю в противовес применению виртуалок обсудить возможности "полных" chroot-окружений (т.е. с целой системой, созданной, к примеру, debootstrap или скопированной с работающей машины). Чрут с бинарем и парой библиотек имхо особого интереса не представляет, т.к. или работает без проброшенных ФС, или сводится к полному варианту.
Интересны вопросы использования примонтированного /proc, /dev/pts, etc. Как пример: каким образом запретить отрабатывание init 0 в чруте c монтированным /proc? Разумеется, интересует не банальное удаление бинаря, а ограничение возможности посылать сообщения внешним процессам. Есть и идеологические вопросы: является ли прикладное ПО, требующее /proc для работы, правильно спроектированным? Например, постгрес требует /proc, но его работа с гигабайтами shared memory мне кажется дурной практикой, сохранившейся со времен мэйнфреймов. Огромная просьба ко всем - не нужно упирать на программные ошибки, которые временами обнаруживаются и позволяют "выходить" из чрут. Технология chroot давняя и достаточно стабильная, чтобы использоваться в продакшене, чего не скажешь о многих виртуалках. А вот как ею пользоваться грамотно, и хотелось бы узнать подробнее. Best regards, Alexey Pechnikov. http://pechnikov.tel/