Có an toàn hơn khi sử dụng một nhà tù chroot, vỏ tù hoặc kết hợp?

Một người bạn của tôi có một chiếc netbook Acer dựa trên xandros, và đang tìm kiếm sự giúp đỡ từ xa và sự giúp đỡ từ tôi khi cô ấy đi du lịch khắp thế giới.
Tôi đã thiết lập một tài khoản trên netbook của cô ấy để tôi ssh vào và thiết lập một kịch bản để đảo ngược đường hầm từ netbook của cô ấy đến máy chủ của tôi - điều này cho phép tôi khắc phục các sự cố với tường lửa, v.v. tại các nhà trọ và khách sạn khác nhau. Khi cô ấy đã vào máy chủ của tôi, tôi có thể đi cùng với netbook của cô ấy.

Tôi đã có một tập lệnh bash được chạy dưới dạng shell của cô ấy khi cô ấy vào máy chủ của tôi, nó chỉ cho cô ấy một loại màn hình 'vui lòng đợi' và tùy chọn duy nhất là thoát khỏi tập lệnh và do đó được khởi động từ máy chủ.

Người dùng tôi đã tạo cho cô ấy trên máy chủ của tôi có quyền thấp, nhưng chắc chắn sẽ có một số khai thác có nghĩa là cô ấy sẽ có quyền truy cập ssh vào máy chủ của tôi.

Tôi cũng đang cân nhắc sử dụng nhà tù chroot, vì vậy nếu cô ấy trốn thoát, cô ấy chỉ có quyền truy cập vào thư mục nhà của mình.
Đây có phải là một ý tưởng tốt, và có bất kỳ mẹo bảo mật nào khác mà tôi có thể đã bỏ lỡ để giữ an toàn cho máy chủ của mình không, trong khi vẫn cho phép tôi truy cập netbook của cô ấy từ xa?

Để làm rõ, tôi không nghĩ cô ấy sẽ cố gắng trốn thoát khỏi nhà tù, hay người bị trừng phạt, nhưng tôi muốn biết làm thế nào tôi có thể ngăn chặn điều này chỉ trong trường hợp.

Cập nhật:
Và bạn có bất kỳ đề xuất nào khác về cách tôi có thể truy cập netbook hoặc các lớp khác mà tôi có thể đặt giữa người dùng và phần cứng của mình không?

Bạn đã xem xét việc thiết lập VNC hoặc một ứng dụng điều khiển từ xa khác trên một cổng thường không được lọc bởi tường lửa theo quy tắc chưa?

Một cấu hình ví dụ về điều này sẽ có VNC (hoặc ứng dụng tương tự khác) được tải trên máy tính xách tay. Sau đó, có kịch bản phía máy tính xách tay của bạn chạy để tiếp cận với máy chủ của bạn trên một cổng cụ thể sẽ không được tường lửa lọc để thiết lập đường dẫn trở về hệ thống của bạn. 443 có lẽ là cổng tốt nhất để sử dụng cho việc này nhưng những người khác cũng phù hợp. Sau đó, từ hệ thống của bạn, bạn chỉ cần kết nối trực tiếp với VNC hoặc sao chép một cổng trên máy chủ của bạn sang một số cổng khác và chỉ cần kết nối với giao diện trên cổng cục bộ và chuyển hướng cổng sẽ xử lý đưa bạn đến hệ thống khác ở đầu xa.

Hi vọng điêu nay co ich.

Nhà tù chroot sẽ giúp ích, nhưng với việc khai thác cho phép ai đó vào vỏ, họ vẫn có thể nhìn thấy bảng quy trình và như vậy, và chạy các chương trình, có thể khai thác thêm. Nếu bạn muốn thực sự tích cực trong việc cô lập người dùng bên ngoài, thì đó là cách sử dụng một howitzer trên một con kiến, nhưng bạn có thể thiết lập một máy chủ riêng ảo cho toàn bộ cơ chế đường hầm ssh. Sau đó, điều tồi tệ nhất họ có thể làm là làm hỏng VPS, ngăn chặn khả năng thoát ra khỏi một, đây là một thanh khá cao.

Tôi là một người hâm mộ của một chiến lược bảo vệ tốt trong chiến lược chuyên sâu khi bảo vệ hệ thống máy tính, vì vậy tôi khuyên bạn nên sử dụng tài khoản đặc quyền thấp trong hệ thống tệp bị chroot, và thậm chí sau đó không có gì đảm bảo, chỉ cần nhìn vào iPhone, nó làm cả hai điều này và nó vẫn không giúp được gì.

Một cách khác để lột da con vật này mà tôi đang nghĩ về nó là lưu lượng truy cập phiên x bên trong một đường hầm SSH thay thế cho việc sử dụng VNC. Bây giờ bạn đã đi được nửa đường với thiết lập hiện tại của bạn.

Thiết lập khả năng X trên một cổng cụ thể cục bộ cho máy đó, sau đó chuyển tiếp cổng đó cho chính bạn qua đường hầm và sau đó sao chép nó sang một cổng ở phía bạn để bạn có thể kết nối với phiên trên cổng cục bộ trên máy chủ của mình.

Một thứ khác mà tôi đã tìm thấy hoàn toàn tiện dụng cho loại điều này là DNS động. Điều này sẽ cho phép bạn đặt FQDN có thể phân giải mà bạn có thể truy vấn bất cứ khi nào có nhu cầu. DyDns chạy như một dịch vụ nhẹ trên hệ thống mà bạn đã cài đặt và nó cập nhật bản ghi bất cứ khi nào thông tin địa chỉ IP thay đổi.