Verifique se você tem UsePAM yes
em /etc/ssh/sshd_config
e configure um módulo PAM que lê um banco de dados do usuário de um local dentro do chroot. Não há uma maneira fácil de fazer pam_unix
ler arquivos passwd
e shadow
diferentes, mas você pode usar pam_ldap
e executar um servidor LDAP dentro do chroot (ou melhor ainda, fora do chroot, armazenando seus dados em algum lugar /var
).
Quanto a usar a virtualização, isso depende do que você espera do chrooting. Não fornece muita segurança contra um usuário com acesso ao shell. Por exemplo, um buraco raiz local dá acesso total a toda a máquina; usuários locais podem bisbilhotar um pouco fora do chroot, cutucando dentro de /proc
; portas de rede usadas dentro do chroot não estão disponíveis no exterior; ...