Чи безпечніше використовувати в'язниці з хротом, в'язницю або комбінацію?

Моя подруга має нетбук Acer на базі xandros, і шукає отримати віддалене управління та допомогу від мене, поки вона подорожує світом.
Я створив обліковий запис у своєму нетбуку для того, щоб я зайшов у скрипт, і створив сценарій для зворотного переходу ssh-тунелю з її нетбука на мій сервер - це дозволяє мені подолати проблеми з брандмауерами тощо в різних хостелах та готелях. Після того, як вона заробила ssh'ed на моєму сервері, я можу перейти до її нетбука

У мене є скрипт bash, який запускається як її оболонка, коли вона ssh'es на моєму сервері, що просто дає їй екран "будь ласка, зачекайте", і єдиний варіант - це вихід зі сценарію, а значить, завантажуються. з сервера.

Користувач, який я створив для неї на своєму сервері, має низькі права, але це може бути деякий подвиг, який би означав, що вона матиме ssh доступ до мого сервера.

Я розглядаю також можливість використовувати в'язницю Chroot, тож якщо вона втече, матиме лише доступ до свого домашнього каталогу.
Це гарна ідея, і чи є якісь поради щодо безпеки, які я, можливо, пропустив, щоб захистити свій сервер, і все ж дозволяти мені віддалено отримувати доступ до її нетбука?

Для уточнення, я не думаю, що вона намагатиметься втекти з в'язниці чи хроту, але я хотів би знати, як я міг би запобігти цьому на всякий випадок.

Оновлення:
А чи є у вас інші пропозиції щодо того, як я можу отримати доступ до нетбука чи інших шарів, які я можу розмістити між користувачем та моїм обладнанням?

Чи розглядали ви можливість встановити VNC або інший додаток дистанційного керування на порт, який зазвичай не фільтрується брандмауером за правилами?

Приклад конфігурації цього запису повинен мати VNC (або інший подібний додаток) на ноутбук. Потім запустіть сценарій бічного ноутбука, щоб звернутися до вашого сервера на певному порту, який не буде відфільтрований брандмауером, щоб встановити шлях повернення до системи. 443 - це, мабуть, найкращий порт для використання, але інші також підходять. Тоді з вашої системи ви просто підключитесь до VNC або безпосередньо, або копіюєте порт на вашому сервері на інший номер порту, а також просто підключитесь до інтерфейсу на локальному порту, і перенаправлення порту оброблять вас до іншої системи на віддаленому кінці.

Сподіваюсь, це допомагає.

Тюрма Chroot допоможе, але з експлуатуванням, який когось пускає в оболонку, вони все одно зможуть побачити таблицю процесів і таке, а також запускати програми, можливо, додатково використовувати. Якщо ви хочете по- справжньому бути агресивними щодо ізоляції зовнішнього користувача, це начебто використання гаубиці на мурашці, але ви можете створити віртуальний приватний сервер для всього механізму тунелю ssh. Тоді найгірше, що вони можуть зробити, - це сміття VPS, забороняючи можливість вирватися з одного, що є досить високою смугою.

Я прихильник гарної стратегії захисту в глибині, коли мова йде про захист комп'ютерної системи, тому я рекомендую вам використовувати обліковий запис з низькими привілеями в хронізованій файловій системі, і навіть тоді це не є гарантією, просто подивіться на iPhone, це робить обидва ці речі, і це все ще не допомагає.

Ще один спосіб зняти шкіру цієї тварини зараз, коли я замислююсь над цим - це тунельний трафік x сеансу всередині тунелю SSH як альтернатива використанню VNC. Ви вже перебуваєте на півдорозі з поточним налаштуванням.

Налаштуйте здатність X на певному порту локально до цієї машини, потім перенесіть цей порт до себе через тунель, а потім повторіть його на порт з вашої сторони, щоб ви могли підключитися до сеансу на локальному порту на вашому сервері.

Ще одна річ, яку я знайшов, що цілком зручно для подібних речей, - це динамічний DNS. Це дозволить вам встановити вирішуваний FQDN, який ви можете запитувати, коли виникає потреба. DyDns працює як легкий сервіс у системі, на якій ви встановлено, і оновлює запис у будь-який час, коли інформація про IP-адресу змінюється.