chroot jail、jail shell、またはそれらの組み合わせを使用する方が安全ですか？

私の友人はxandrosベースのAcerネットブックを持っていて、彼女が世界中を旅行している間、リモート管理と助けを求めています。
私は彼女のネットブックにSSHで接続するためのアカウントを設定し、彼女のネットブックからサーバーにリバースSSHトンネルするスクリプトを設定しました。これにより、さまざまなホステルやホテルのファイアウォールなどの問題を回避できます。彼女が私のサーバーにsshした後、私は彼女のネットブックにsshで接続できます。

私がサーバーにsshすると、シェルとして実行されるbashスクリプトがあり、彼女に「お待ちください」という種類の画面が表示されるだけです。唯一のオプションは、スクリプトを終了して起動することです。サーバーから。

私のサーバー上で彼女のために作成したユーザーは低い権限ですが、彼女が私のサーバーへのsshアクセス権を持っていることを意味するいくつかのエクスプロイトが存在する可能性があります。

私はchroot刑務所も使用することを検討しているので、彼女が脱出した場合、ホームディレクトリにしかアクセスできません。
これは良い考えですか、それともサーバーを安全に保ちながら、リモートでネットブックにアクセスできるようにするために見逃していた他のセキュリティのヒントはありますか？

明確にするために、彼女が刑務所やchrootから脱出しようとは思わないが、万が一に備えてこれを防ぐ方法を知りたい。

更新：
ユーザーとハードウェアの間に配置できるネットブックまたは他のレイヤーにアクセスする方法について、他に何か提案はありますか？

ルールによってファイアウォールで通常フィルタリングされないポートにVNCまたは別のリモートコントロールアプリを設定することを検討しましたか？

この構成例では、VNC（または他の同様のアプリ）をノートブックにロードします。次に、ノートブック側のスクリプトを実行して、ファイアウォールでフィルタリングされない特定のポートでサーバーに到達し、システムへの戻りパスを確立します。これにはおそらく443が最適なポートですが、他のポートも適しています。次に、システムからVNCに直接接続するか、サーバーのポートを別のポート番号にレプリケートし、ローカルポートのインターフェイスに接続するだけで、ポートリダイレクトにより、リモートエンドの他のシステムにアクセスできます。

お役に立てれば。

chroot jailは役に立ちますが、誰かをシェルに入れさせるエクスプロイトを使用しても、プロセステーブルなどを表示し、プログラムを実行することができます。外部ユーザーの分離に積極的に取り組みたい場合は、蟻の榴弾砲を使用するようなものですが、SSHトンネルメカニズム全体に仮想プライベートサーバーを設定できます。次に、彼らができる最悪のことは、VPSをゴミ箱にすることです。VPSから抜け出す能力がなければ、これはかなり高いバーです。

私はコンピューターシステムのセキュリティ保護に関しては、適切な多層防御戦略のファンです。chrootされたファイルシステムで低い特権のアカウントを使用することをお勧めします。それでも保証はありません。iPhoneを見てください。それはこれらの両方のことを行い、それでもまだ役に立ちません。

この動物のスキンを作成するもう1つの方法は、VNCを使用する代わりに、SSHトンネル内でxセッショントラフィックをトンネルすることです。現在の設定では、すでに途中まで進んでいます。

サーバーのローカルポートのセッションに接続できるように、そのマシンのローカルの特定のポートでX機能を設定し、そのポートをトンネル経由で自分に転送し、それを自分の側のポートに複製します。

この種のものに完全に便利なもう1つの発見は、ダイナミックDNSです。これにより、必要なときにいつでも照会できる解決可能なFQDNを設定できます。DyDnsは、インストールされているシステム上で軽量サービスとして実行され、IPアドレス情報が変更されるたびにレコードを更新します。