chroot jails, jail shell 또는 조합을 사용하는 것이 더 안전합니까?

내 친구는 xandros 기반 Acer 넷북을 가지고 있으며 전 세계를 여행하는 동안 원격 관리와 도움을 받기를 원했습니다.
나는 그녀의 넷북에 계정을 설정하고 그녀의 넷북에서 내 서버로 역 터널링하기위한 스크립트를 설정했다. 이것은 다양한 호스텔과 호텔에서 방화벽 등의 문제를 해결할 수있게한다. 그녀가 내 서버에 ssh 's되면, 그녀의 netbook에 ssh 수 있습니다.

나는 그녀가 내 서버에 ssh 's 할 때 그녀의 쉘로 실행되는 bash 스크립트를 가지고 있는데, 그것은 단지 그녀에게 '잠시 기다려주십시오'일종의 화면을 제공하며 유일한 옵션은 스크립트를 종료하고 부팅됩니다 서버에서.

내 서버에서 그녀를 위해 만든 사용자는 권한이 없지만 내 서버에 ssh 액세스 할 수 있다는 악용이 필요합니다.

나는 또한 chroot jail을 사용하는 것을 고려하고 있기 때문에 그녀가 탈출하면 그녀는 자신의 홈 디렉토리에만 액세스 할 수 있습니다.
이것이 좋은 생각입니까, 서버 보안을 유지하면서 넷북에 원격으로 액세스 할 수 있도록 놓친 다른 보안 팁이 있습니까?

명확히하기 위해, 그녀가 감옥이나 chroot에서 탈출하려고하지는 않을 것이라고 생각하지만, 만일을 위해 이것을 막을 수있는 방법을 알고 싶습니다.

업데이트 :
넷북이나 사용자와 하드웨어 사이에 배치 할 수있는 다른 레이어에 액세스하는 방법에 대한 다른 제안이 있습니까?

규칙에 의해 방화벽에 의해 일반적으로 필터링되지 않는 포트에서 VNC 또는 다른 원격 제어 앱을 설정하는 것을 고려 했습니까?

이 예제 구성에는 노트북에 VNC (또는 다른 유사한 앱)가로드되어 있습니다. 그런 다음 노트북 측 스크립트를 실행하여 방화벽에 의해 필터링되지 않는 특정 포트에서 서버에 도달하여 시스템으로의 리턴 경로를 설정하십시오. 443은 아마도 이것에 사용하기에 가장 좋은 포트이지만 다른 것도 적합합니다. 그런 다음 시스템에서 VNC에 직접 연결하거나 서버의 포트를 다른 포트 번호로 복제하고 로컬 포트의 인터페이스에 연결하기 만하면 포트 리디렉션을 통해 원격 시스템의 다른 시스템으로 연결됩니다.

이것이 도움이되기를 바랍니다.

chroot jail은 도움이 될 것이지만, 누군가가 쉘에 침입 할 수있는 익스플로잇을 통해 프로세스 테이블 등을보고 프로그램을 실행할 수있을 것입니다. 당신이 할 경우 실제로 외부 사용자를 분리에 대한 공격적, 그것은 개미에 곡사포를 사용하는 종류의,하지만 당신은 전체 SSH 터널 메커니즘 가상 개인 서버를 설정할 수 있습니다. 그리고 그들이 할 수있는 최악의 상황은 VPS를 쓰레기로 버리는 것입니다.

나는 컴퓨터 시스템을 보호 할 때 심층 방어 전략을 좋아하는 팬 이므로 chrooted 파일 시스템에서 낮은 권한 계정을 사용하는 것이 좋습니다. 이 두 가지를 모두 수행하지만 여전히 도움이되지 않습니다.

내가 생각하고있는이 동물을 스키닝하는 또 다른 방법은 VNC를 사용하는 대신 SSH 터널 내에서 x 세션 트래픽을 터널링하는 것입니다. 현재 설정으로 이미 절반이되었습니다.

특정 포트에서 X 포트를 해당 시스템에 로컬로 설정 한 다음 터널을 통해 해당 포트를 사용자 자신에게 전달한 다음 사용자 측의 포트로 복제하여 서버의 로컬 포트에있는 세션에 연결할 수 있습니다.

내가 찾은 또 다른 것은 이런 종류의 일에 완전히 유용한 것은 동적 DNS입니다. 이를 통해 필요할 때마다 쿼리 할 수있는 분석 가능한 FQDN을 설정할 수 있습니다. DyDns는 설치된 시스템에서 간단한 서비스로 실행되며 IP 주소 정보가 변경 될 때마다 레코드를 업데이트합니다.