Защита от local root под ssh

удваиваю, хотя имхо надо делать chroot

Из чрута вроде выйти как нефиг делать.

Как выйти из-под chroot'а для несуперпользователя?

Не знаю, но мне такие страшные вещи говорили. Да и чрут прикрутить будет думаю не так просто к ssh.

google: ssh chroot (~273000 найдено). По первой же ссылке - как сделать.

но надежно ли chroot юзать?

Но, честно говоря, не понимаю: зачем это нужно? Чтобы не смогли рутовский пароль подобрать? Так запретить руту вход вообще - и все, разрешить лишь sudo для определенного пользователя, а ему - запретить вход по паролю, оставив только ssh по ключам.

Из чрута у вас точно никто не выберется. Но замучаетесь нормально окружение настраивать...

Вот ты хочешь запретить им «лазить». Тебе жалко /usr/ показать ? Я считаю, автор, что ошибка построения безопасной системы лежит глубже, если при добавлении обычного юзера в систему ты боишься, что он может чего-то такого увидеть. Поэтому предлагаю не городить костылей в виде ssh/chroot, а грамотно настроить права доступа. Классика - разрешить только то, что нужно, и тому, кому нужно.

> банально оградить их, чтобы дальше хомяков своих не лезли?

Зачем? Просто решил тупняк прогнать?

+100500

Плюсую грамотную настройку прав.

У тебя секретные иксы или coreutils? Зачем прятать куски системы от юзеров? Для домашних каталогов, секретных конфигов и логов настрой права и не парься.

Дело в том, что можно получить рута при помощи какой-либо дырки. Не?

>Дело в том, что можно получить рута при помощи какой-либо дырки. Не?

Конечно можно, если не следить за безопасностью системы. Но в таком случае и chroot не поможет.

правильные права, chroot и cgroups. Этого достаточно.

права! 754 или 744

Был когда-то довольно стойкий ресурс - rootshell.
Жив ли он сейчас - хз.
Но за те годы, пока им пользовался их ни разу не поимели.
Но, если маразм не изменяет, там у них была OpenBSD.