>Чего ей freebsd jail не угодили?Они вообще далеки от практического использования, по сравнению с OpenVZ, PVC, Solaris Zones, и, скоро, LXC.
По сабжу Вашего вопроса, КО подсказывает, что в контейнерах не полная изоляция, в сравнении с виртуализацией.
Каждый сервис в контейнер, особенно с нормальными лимитами на cpu, память, и диск (жалко, что в OVZ i/o влияние сервисов друг на друга не очень хорошо лимитируется, но зато в остальных контейнерах оно вообще никак не ограничивается), это достаточно реальный вариант, в сабже же рассматривается что-то параноидальное, которое поможет от гипотетического ядерного эсплойта, который в истории тех же VZ-ядер в начале двухтысячных, когда они только-только вышли (и сделали Jails не актуальным), все-таки был.