>Ещё неплохо создать /etc/hosts
>sys и proc нужно просто монтирвать без rbind
>а также примонтировать devpts
>
>proc /home/chroot_web/proc proc defaults 0 0
>sys /home/chroot_web/sys sysfs defaults 0 0
>/dev /home/chroot_web/dev none bind 0 0
>devpts /home/chroot_web/dev/pts defaults,gid=5,mode=620 0 0
>
>man debootstrap короче итак, допустим apache таки ломанули
у нас dev есть? конечно, а даже если и нет, то мы себе сами сможем создать.
берем /dev/[sh]daXXX , монтируем его куда-нибудь, и из chroot'а пругаем chroot'ом в root.
зачем использовать полные слепки системы для изоляции сервисов ровным счётом не понятно.
к предыдущей заметке по RedHat-based системам критика такая-же.
(если виртуализация по тем или иным причинам не может быть использованна)
1. для изоляции сервисов нужно создавать минимальное окружение
2. использование chroot'а для изоляции всё-равно остаётся очень плохой идеей.