Isolando o Apache virtualhosts usando o container linux

Eu tenho um host do server web (Apache no Linux) que executa muitos hosts virtuais que oferecem CGIs e FastCGs usando 'chroot' paira sepairair os processs uns dos outros. Por várias razões, penso em replace cada ambiente chroot por um recipiente Linux. Surpreendentemente, não findi quase nada sobre essa idéia! Eu sou o único com essa idéia? Isso é uma má ideia? (O user pode escaping do recipiente?) Alguém está interessado em compairtilhair seus pensamentos (ou links) com isso?

Infelizmente, o recipiente só pode ser usado paira CGIs e FastCGs, porque um process / thread (neste caso Apache) não pode entrair em um contêiner, faça o trabalho e saia. Ele deve sair nesta fase, correto? Ou há um truque?