Cómo OpenSSH con Chroot.    

Introducción
SSH es un protocolo que permite realizar transferencias seguras a través de un túnel seguro donde toda la información trasmitida va cifrada. Sin embargo, SSH potencialmente se puede volver un arma de dos filo si una cuenta de usuario se ve comprometida. Configurar un sistema con OpenSSH con soporte para Chroot brinda una mayor seguridad al aislar a los usuarios dentro de un entorno separado del sistema principal con un mínimo de herramientas para trabajar y que disminuye los riesgos potenciales en caso de verse comprometida alguna cuenta.
Este manual considera el lector utiliza Red Hat™ Enterprise Linux 4, CentOS 4 o White Box Enterprise Linux 4.
Procedimientos
Se requiere instalar los paquetes se OpenSSH modificados con el parche disponible en http://chrootssh.sourceforge.net/ y que están disponibles a través de Linux Para Todos.
Los siguientes son los componentes mínimos de la jaula.

Es decir, si se requiere utilizar /bin/sh, y suponiendo se utiliza /chroot/ como directorio raíz para la jaula, se debe copiar dentro de éste como /chroot/bin/sh, si se requiere /lib/libtermcap.so.2 se debe copiar como /chroot/lib/libtermcap.so.2, si se requiere /usr/libexec/openssh/sftp-server se debe copiar como /chroot/usr/libexec/openssh/sftp-server, y asi sucesivamente.
Cualquier otra herramienta que se quiera agregar solo requiere estén presentes dentro de la jaula las bibliotecas correspondientes. Éstas se determinan a través del mandato ldd aplicado sobre la herramienta que se quiere utilizar. Por ejemplo, si se quiere añadir el mandato more a la jaula, primero se determina que bibliotecas requiere para funcionar:

Lo anterior devuelve algo como lo siguiente:

Lo anterior significa que para poder utilizar more dentro de la jaula deberán estar presentes dentro de ésta y en el subdirectorio lib/ las bibliotecas libtermcap.so.2, libc.so.6 y ld-linux.so.2.
Los ficheros /etc/group y /etc/passwd solo necesitan contener la información de los usuarios que interese enjaular así como la ruta relativa al directorio donde se encuentra la jaula de sus directorios de inicio (es decir, se define /home/usuario, suponiendo que realmente se localiza en /var/www/sitiocliente/home/usuario). Es indispensable esté presente esta información dentro de la jaula o de otro modo no será posible realizar el ingreso al sistema.

Aunque no del todo indispensable para utilizar OpenSSH con Chroot, es buena idea crear los siguiente nodos dentro de la jaula:

Solo root deberá poder modificar la estructura de la jaula y su contenido. El objeto es poder permitir el acceso por SSH/SFTP a un entorno aislado del sistema principal. Adicionalmente si se configura el servicio de FTP con jaulas, se podrá acceder indistintamente por FTP, SSH o SFTP.
Ejemplo práctico:
Suponiendo que se tiene un cliente, y éste ha solicitado servicio de hospedaje para su sitio de red a través de HTTP. El cliente quiere dos usuarios diferentes para subir distinto contenido al sitio de red. Los usuarios serán fulano y mengano. El dominio a administrar sera empresa-ejemplo.com, que será administrado exclusivamente por fulano, y se quiere un sub-dominio denominado ventas.empresa-ejemplo.com que será administrado por mengano.
Crear las cuentas de los usuarios
Se crea el directorio /var/www/empresa-ejemplo.com y se copia la estructura de la jaula antes mencionada dentro de subdirectorios relativos a /var/www/empresa-ejemplo.com, teniendo cuidado de dejar a root como propietario a fin de impedir que los usuarios puedan borrar algún subdirectorio del interior.
Se crean las cuentas de los dos usuarios, tomando en cuenta que si se asigna /sbin/nologin o /bin/false como interprete de mandatos, se podrá acceder por FTP pero no se podrá acceder por SSH o SFTP, y si se asigna /usr/libexec/openssh/sftp-server, solo se podrá acceder por SFTP. Si se asigna /bin/sh como interprete de mandatos, se podrá acceder por SSH, SFTP y FTP.

Cabe señalar que los directorios de inicio pertenecen a root, de este modo se impide que el usuario pueda borrar subdirectorio relativos que se utilizarán para guardar las bitácoras de Apache.
Suponiendo que fulano tiene UID 513 y mengano tiene UID 514, el fichero /var/www/empresa-ejemplo.com/etc/passwd debería tener lo siguiente:

El fichero /var/www/empresa-ejemplo.com/etc/group debería tener lo siguiente:

Configuración de Apache.
El dominio www.empresa-ejemplo.com se configurará del siguiente modo:

Los directorios necesarios se crearán del siguiente modo con siguientes permisos:

El sub-dominio ventas.empresa-ejemplo.com se configurará del siguiente modo:

Los directorios necesarios se crearán del siguiente modo con siguientes permisos:

Comprobaciones.
Al acceder con el usuario fulano por SSH o FTP hacia www.empresa-ejemplo.com se deberá acceder hacia /var/www/empresa-ejemplo.com, el cual será presentado como "/". El usuario publicará el contenido HTML dentro de /html, podrá guardar contenido fuera de Apache en /configs y podrá acceder hacia las bitácoras generadas por apache en /logs. Es importante recalcar que mengano no podrá borrar contenido de /ventas, como son el directorio de bitácoras /logs y el directorio /html que se mostrará en Apache como http://ventas.empresa-ejemplo.com/. En la ausencia de estos Apache no podría iniciar.
Al acceder con el usuario mengano por SSH o FTP hacia www.empresa-ejemplo.com se deberá acceder hacia /var/www/empresa-ejemplo.com, el cual será presentado como "/". El usuario publicará el contenido HTML dentro de /ventas/html, podrá guardar contenido fuera de Apache en /ventas/configs y podrá acceder hacia las bitácoras generadas por apache en /ventas/logs. Es importante recalcar que mengano no podrá borrar contenido de /ventas, como son el directorio de bitácoras /ventas/logs y el directorio /ventas/html que se mostrará en Apache como http://ventas.empresa-ejemplo.com/. En la ausencia de estos Apache no podría iniciar.