Аналоги имеются.. Смысл тот же, но реализация несколько отличается..

хотелось бы поподробнее. где копать?

1. http://linux-vserver.org/

http://openvz.org/ http://www.freevps.com/

Ага. То что надо.

Вторая проблема решаема? Судя по man tcpdump нет, но как-то не верится.

а что это за захват пакетов? 
может, это сгодится:

  x x                  [*] Larger entropy pools                                     x x  
  x x                  [*] Randomized TCP source ports                              x x  
  x x                  [*] Socket restrictions                                      x x  
  x x                  [ ]   Deny any sockets to group (NEW)                        x x  
  x x                  [ ]   Deny client sockets to group (NEW)                     x x  
  x x                  [ ]   Deny server sockets to group (NEW)

я имел ввиду запуск ethereal обычным пользователем.

> 1. Есть ли в linux аналог jail

По простоте и лёгкости развёртки ничего подобного нет. У xen - море ограничений, vserver тоже имеет некоторые недостатки. Идеально - VMWare Server, который сейчас стал бесплатным.

> 2. Возможно ли задать права на захват пакетов (т.е. то, что в FreeBSD решается разрешением на чтение к /dev/bpf?)

Sudo? Или ручками правим исходники ядра.

Чем vmware идеален? тем что гуи требует? поправьте меня, если это (уже) не так. И оверхед большущий.

Не сочтите за рекламу, но openvz, который я использую - легок и прост в развертывании и обращении. Не сильно сложнее jail'а. С vserver'ом у меня в свое время было не все гладко, но это, конечно, еще ни очем не говорит. Freevps честно говоря не пробовал, руки так и не дотянулись... Кажется я застопорился на том, что не нашел на сайте патчей к ядру, а целиком тягать в исходниках показалось чересчур... :)

> Чем vmware идеален? тем что гуи требует?

Купите очки, я написал VMWare SERVER.

Понятно. Не пользовался этим зверем, все мое знакомство с vmware ограничивается vmware workstation....

> Sudo? Или ручками правим исходники ядра.

Не sudo не годится :( Прийдётся испытать второй вариант

есть еще какой то BSD Jail в виде Linux Security Module от IBM ;-)

BSD Jail Linux Security Module
Serge E. Hallyn <serue@us.ibm.com>

Description:

Implements a subset of the BSD Jail functionality as a Linux LSM.
What is currently implemented:

If a proces is in a jail, it:

1. Is locked under a chroot (as are all children) which is not vulnerable to the well-known chdir(..)(etc)chroot(.) escape.
2. Cannot mount or umount
3. Cannot send signals outside of jail
4. Cannot ptrace processes outside of jail
5. Cannot create devices
6. Cannot renice processes
7. Cannot load or unload modules
8. Cannot change network settings
9. May be assigned a specific ip address which will be used for all it's socket binds.
10. Cannot see contents of /proc/<pid> entries of processes not in the same jail. (We hide their existence for convenience's sake, but their existance can still be detected using, for instance, statfs)
11. Has no CAP_SYS_RAWIO capability (no ioperm/iopl)
12. May not share IPC resources with processes outside its own jail.
13. May find it's valid network address (if restricted) under /proc/$$/attr/current.

WARNINGS:
The security of this module is very much dependent on the security of the rest of the system. You must carefully think through your use of the system.

http://www-128.ibm.com/developerworks/linux/library/l-selinux.html
Это про автора, судя по статье bsdjail для последних ядер находится в SELinux, хотя можно и автору отписать. Если будешь положительно контактировать с автором - отпиши результат в этот форум ну или в новости, если совсем интересное что то будет :-)

Fun. Я смотрел этот патч года полтора назад, и последняя версия которая нормально ставилась была то ли на 2.6.8, то ли на 2.6.11. Он действительно очен простенький, так что для автоматизации чего либо нужно было шелл-скрипты ваять.

Стало быть его не забросили...