Используя jail и ZFS (zfs clone) или mount_nullfs, по крайней мере в BSD можно реализовать изоляцию без особых сложностей.
для того, чтобы анализировать логи - достаточно быть членом
специальной группы www-logs, и тогда будут доступны на чтение
логи nginx, если на /var/log/nginx права доступа nginx:www-logs 0550
тут я ошибся немного, надо так:
root:www-logs 0750 /var/log/nginx
и пользователь nginx обязательно входит в группу www-logs