Modo preferito per creare un chroot quando si effettua il chroot degli utenti quando si registra con SSH?

Usando libpam-chroot è possibile eseguire il chroot di sottoinsiemi di utenti abbastanza facilmente sulla base di un nome utente quando l'utente sta registrando con SSH.

Qual è un buon modo per creare questo setup chroot e libpam-chroot. Uno dei miei obiettivi è che gli utenti chroot sono conosciuti solo in ambiente chroot (nessuna password o qualsiasi cosa sarebbe memorizzata al di fuori di chroot). Nella mia precedente configurazione avevo bisogno di aggiornare manualmente le password degli utenti tra /etc/shadow e /var/my_chroot/etc/shadow. È possibile?

Oppure esiste un modo completamente diverso per realizzare questo tipo di sottosistema senza la necessità di un altro computer (virtuale) completamente (non ho alcun hardware di ricambio da offrire e ho solo 1 interfaccia di rete)? O la virtualizzazione è la risposta corretta dopotutto?

Assicurati di avere UsePAM yes nel /etc/ssh/sshd_confige configurare un modulo PAM che legge un database utente da un posto all'interno della chroot. Non c'è un modo semplice per fare pam_unix leggere diverso passwd e shadow file, ma è possibile utilizzare pam_ldap invece, esegui un server LDAP all'interno di chroot (o anche meglio, fuori dal chroot, memorizzando i suoi dati da qualche parte sotto) /var ).

Per quanto riguarda l'utilizzo della virtualizzazione, ciò dipende da quanto ci si aspetta dal chroot. Non fornisce molta sicurezza contro un utente con accesso alla shell. Ad esempio, un foro di radice locale consente l'accesso completo all'intera macchina; gli utenti locali possono curiosare un po 'al di fuori del chroot infilando dentro /proc; le porte di rete utilizzate all'interno di chroot non sono disponibili all'esterno; ...