La mejor manera de sandbox Apache en Linux

Tengo Apache ejecutándose en un servidor de Debian público y estoy un poco preocupado por la seguridad de la instalación. Esta es una máquina que aloja varios proyectos de tiempo libre, por lo que ninguno de los que usamos la máquina realmente tiene el tiempo para observar constantemente los parches ascendentes, estar al tanto de los problemas de seguridad, etc. Pero me gustaría mantener a los malos fuera , o si entran, guárdalos en un arenero.

Entonces, ¿cuál es la mejor solución fácil de configurar y fácil de mantener aquí? ¿Es fácil configurar un sandbox de Linux en modo usuario en Debian? O tal vez una cárcel chroot? Me gustaría tener un acceso fácil a los archivos dentro del sadbox desde el exterior. Este es uno de esos momentos en los que me queda muy claro que soy un programador, no un administrador de sistemas. Cualquier ayuda sería muy apreciada!