У нас есть среда, созданная для того, чтобы наши пользователи могли входить в систему через ssh, и вместо того, чтобы получать доступ непосредственно к оболочке, у пользователей есть сценарий вместо оболочки. Сценарий просто запускает Mutt в Maildir пользователя. Проблема в том, что у Mutt есть escape-оболочка, которая позволяет пользователям запускать любые команды, которые они пожелают. Мы могли бы отключить все команды bin и usr / bin, кроме того, что нужно Mutt, но в конечном итоге злоумышленник может по-прежнему использовать встроенные средства оболочки для обхода системных двоичных файлов. И мы хотели бы придерживаться Mutt, поскольку он кажется самым простым и удобным для наших пользователей. Мы думали о chroot-тюрьмах, но они, похоже, тоже имеют свои уязвимости. Наш MTA работает с dovecot, поэтому почтовые ящики находятся в другом каталоге, поэтому, если бы chroot был реализован, пользователям потребовался бы какой-то доступ за пределами тюрьмы (даже если ACL можно установить), мы не уверены, что это сильно поможет . Поэтому мы ищем для этого актуальное решение. Должны ли мы использовать контейнер openvz для запуска под нашей инфраструктурой debian? Лучше chroot jail? Мы понимаем, что, вероятно, не будет большой угрозы, если Perl или C-компиляторы отключены, но мы также не являемся экспертами в области безопасности. Спасибо за любой вклад.