Пользователь подключается по ssh. Пользователь также получает root-доступ к своему домашнему каталогу. Цель - безопасность.
Поскольку пользователь chroot-ed, при входе в систему / bin / bash не обнаруживается. Очевидно, пользователю нужны команды оболочки.
Доступ к оболочке может быть предоставлен
1) символическая ссылка / bin / bash на / home / username
2) mount --bind через / etc / fstab - предпочтительный вариант, потому что серверы часто перезагружаются.
Есть ли разница в безопасности между этими двумя вариантами?
Или есть третий, более безопасный вариант?
Симлинк вам не поможет. Вам понадобится не только /bin/sh, но библиотеки. И специальные устройства вроде /dev/null или /dev/zero. И многое другое. Лучший способ - это не только символическая ссылка, но и жесткая ссылка. А обновление системы будет ОЧЕНЬ непросто.
mount выглядит немного лучше, но ты лучше посмотри на autofs - таким образом, он мог монтировать каталог пользователя только тогда, когда это необходимо, например когда пользователь входит в систему.
Я предпочитаю использовать LXC. Это похоже на расширенный chroot, так что вы можете запускать разные операционные системы с использованием вашего ядра. И пользователей chroot в их собственные системы. Это приводит к увеличению использования диска, но разделение пользователей выглядит приятным.