Вот-вот, тогда польза от этого какая? К чему это я - просто сейчас подготавливаю один сервер и хочется спать спокойно. На самом сервере куча сервисов планируется, вот и думаю, стоит ли с чрутом мучаться или нет... :-/
ну если в чруте вертятся проги не рутовские, то оооочень сложно. если от рута... то успокаивай себя тем, что монтирует не команда маунт, а соответсвующий вызов в конце концов - т.е. процесс монтирования не тривиален в чруте :)
Вот grsec похоже, вещь... Только я что-то не понял из описания - есть какое-то противодействие переполнению буфера\стека (если стек вообще под линукс переполнить можно)?
Ниже 1024 - по принципу некоторых изначально chroot-програмЪ: с правами root делают вызов chroot в нужную папку (таким программам не нужно создавать особое окружение из библиотек) и делают setuid (сброс привилегий).
Чего там затратного? Переключения между ними как между процессами - один хрен, а возможностей ограничить - много. Я надеюсь мы об одном разговариваем? Я про http://linux-vserver.org
если у тех процессов отобрать CAP_ADMIN то даже под рутом они ничего примонтировать не смогут.
но для этого нужно поставить патч на ядро - grsecurity например. и кончно же настроить все это дело