使用chroot监狱，监狱监狱或两者结合使用是否更安全？

我的一个朋友有一本基于xandros的Acer上网本，在她环游世界时一直在寻求远程管理和帮助。
我已经在她的上网本上设置了一个帐户供我ssh登录，并设置了一个脚本，以将ssh隧道从她的上网本反向发送到我的服务器-这使我可以解决各种旅馆和酒店的防火墙等问题。她将ssh放入我的服务器后，便可以ssh到她的上网本。

我有一个bash脚本，当她ssh进入我的服务器时会作为shell运行，这给了她一个“请稍候”的屏幕，唯一的选择是退出脚本，然后启动从服务器。

我在服务器上为她创建的用户权限较低，但是一定会有一些利用，这意味着她可以通过ssh访问我的服务器。

我正在考虑也使用chroot监狱，因此，如果她逃脱了，则只能访问她的主目录。
这是一个好主意吗？在保持我的服务器安全性同时仍允许我远程访问她的上网本的同时，我可能还错过了其他安全提示吗？

需要澄清的是，我认为她不会尝试从监狱或chroot逃脱，但我想知道如何以防万一。

更新：
对于我如何访问上网本或我可以放置在用户和硬件之间的其他层，您还有其他建议吗？

您是否考虑过在防火墙通常不会按规则过滤的端口上设置VNC或其他远程控制应用程序？

一个示例配置将在笔记本上加载VNC（或其他类似的应用）。然后，运行您的笔记本脚本，以通过防火墙不会过滤的特定端口连接到服务器，以建立返回系统的路径。443可能是用于此目的的最佳端口，但其他端口也适用。然后，您可以直接从系统连接到VNC，或者将服务器上的端口复制到另一个端口号，然后仅连接到本地端口上的接口，端口重定向将帮助您将您连接到远端的另一个系统。

希望这可以帮助。

chroot监狱会有所帮助，但是利用允许某人进入shell的漏洞利用程序，他们仍然能够查看进程表等，并运行程序，甚至可以考虑进一步利用这些漏洞。如果您真的想隔离外部用户，可以在蚂蚁上使用榴弹炮，但是您可以为整个ssh隧道机制设置虚拟专用服务器。然后，他们可以做的最坏的事情就是丢弃VPS，除非它具有突破能力，否则这将是一个很高的标准。

在保护计算机系统安全方面，我是深度防御策略的忠实拥护者，因此我建议您在chroot文件系统中使用低特权帐户，即使这样也不能保证，只要看看iPhone，它可以同时完成这两项工作，但仍然无济于事。

现在，我正在考虑对这种动物进行换肤的另一种方法是在SSH隧道内建立x会话流量的隧道，以替代使用VNC。您当前的设置已经到了一半。

在该计算机本地的特定端口上设置X功能，然后通过隧道将该端口转发给您自己，然后将其复制到您身边的端口上，以便您可以连接到服务器本地端口上的会话。

我发现对这种事情完全方便的另一件事是动态DNS。这将允许您设置一个可解析的FQDN，您可以在需要时查询该FQDN。DyDns在安装了它的系统上作为轻量级服务运行，并且只要IP地址信息发生更改，它就会更新记录。