在Linux上,人们是否chroot Java Web应用程序或使用IPTables并以

>如果可以的话,有希望成为chroot监狱的根本(还没有得到这个工作)
>作为非root用户,然后使用IPTables将端口80转发到容器运行的其他端口(> 1024)
> Both：作为非root用户,IPTables和chroot jail.

选择的问题. 1是chrooting的复杂性,仍然是运行root的安全问题.选择的问题. 2是每个Linux发行版都有不同的持久化IPTables的方式.选项3当然可能是想法,但很难设置.

最后,每个发行版都有守护脚本中令人讨厌的差异.

人们发现什么是最好的发动机不可知解决方案,是否有资源来展示如何做到这一点？

编辑：我宁愿不在servlet容器前运行Apache,因为该站点主要是动态的,总内存占用很重要(托管成本).