Я планирую предложить услугу резервного копирования с ограниченным доступом по ssh.
Лучшее решение, о котором я думал до сих пор, - это использовать chroot и разрешать доступ только к определенным командам, таким как: cd, mkdir, mv, rm, rsync, sftp и т. Д., И монтировать домашние каталоги как noexec.
Я планирую сделать это в системе centos 7.
Есть ли способ, которым злоумышленник может вырваться из системы chroot и вторгнуться в данные других пользователей или создать другие проблемы? Есть ли другие соображения безопасности?
Предлагаю вам взглянуть на непривилегированные контейнеры: https://linuxcontainers.org/lxc/getting-started/
Контейнеры обеспечивают лучшую изоляцию по сравнению с chroot jail. У него по-прежнему низкие накладные расходы. LXC использует минимальные ресурсы с точки зрения ОЗУ и места на жестком диске без накладных расходов на установку гостевой ОС на виртуальной машине.