我有多个网站在同一台服务器上运行，使用各种 CMS 和框架构建。我需要完全隔离它们。我需要这个，因为将来我想允许我的一些客户在这些服务器上托管网站，甚至是一些潜在的易受攻击的代码（充满过时 wp 插件等的网站）。因为我不想对客户的代码负责，所以我必须确保环境是安全的，如果其中一个被黑客入侵，其他的运行良好并且服务器本身没有受到损害。

我现在拥有的是一个非常实验性的环境，带有 chroot jailed sftp 访问。问题是，（并且可能还有其他风险因素），所有网站都由同一个网络服务器用户运行，比如说www-data. 因此，从理论上讲，涉及上传恶意软件并从浏览器执行它的攻击可能会损害所有拥有www-data. 系统数据库用户（不是我给客户端的用户，而是运行 mysql 进程的用户）想到了类似的想法。

处理此问题的最佳做法是什么？此外，如果您有任何东西、清单等，请随时分享。