se você realmente
want to lock down this user as much as possible
crie uma máquina virtual. O chroot realmente não isola esse processo.
Se uma máquina virtual real é muito pesada, talvez você possa dar uma olhada nos contêineres linux , uma versão leve da máquina virtual. Mais difícil de configurar embora.
Se você quiser algo ainda mais leve, pode tentar configurar o SELinux. Talvez ainda mais difícil de configurar, mas deve fazer exatamente o que você quer
O chroot não é uma medida de segurança, e há várias maneiras de contornar isso.