Для чего нужна эта технология
Технология необходима тем, кто хочет предоставить ssh доступ но боится, по вполне понятным причинам, это делать.
Реализация технологии представляет собой три скрипта, один для первичной установки изолированного ssh, два других - для старта/остановки изоляции.
Возможности
При желании можно сделать шаблон (темплейт) с необходимым набором софта и устанавливать пользователю нужный шаблон.
Сами шаблоны кешируются и не занимают дискового места при подключении к пользователям, например шаблон вести 100mb и если подключить его к пользователям, то будет израсходовано всего 100mb
Файлы с шаблонов в системной квоте пользователей не учитываются
Требования
Linux, штатный набор ПО и ядро с grsecurity (могу я поставить).

Покупатель получает технологию в виде человеческого описания и реализацию в виде скриптов.

Свои предложения с ценами пишите сюда. Тем, чьи предложения меня заинтересуют - скину в PM тестовый аккаунт.

А freeBSD не подходит?
это случаем не jail ssh?

Нет, для FreeBSD неподходит. Хотя теоретически можно сделать и там - пробовать надо.

Если я правильно понимаю, то получается некоторое подобие jail + возможности jailshell как в cPanel

А кто нибудь такую реализацию пробовал?
http://help.directadmin.com/item.php?id=90

Примерно так но без копирования в каждый аккаунт и все стандатрными средствами.

А к чему чрутить то все?

Скрипты в исходниках? Начем написаны? Под FreeBSD заточите?

В исходниках, на shell.
Под FreeBSD заточить можно, но там нет возможностей grsec.

Понятно. Плюс получается в том, что не расходуется зазря место для jail

Именно, причем это не jail - будет работать обычный ssh но клиент не сможет выйти за homedir.

это поможет от perl скриптов запущеных под апачем не лазить за пределы папки юзера? или это только жестко на шел?

Это жестко на шелл. От perl скриптов поможет правильный chmod, чтоб не лезли куда неследует.

Пока ещё не видел ни одного сервера чтобы помогло, одно дело поставить 711 на папки /etc и /usr и так далее, другое дело когда юзер умный и знает что есть такие папки и набирает их в слепую, а на весь сервер на все папки 711 или 700 не поставишь так что права лишь для тупых юзеров. Тоже видимо и для шела.

если юзер в вашем шеле наберет
cat /etc/passwd что он не уведит содержимое этого файла или ваша защита только от команд типа
ls -la /etc/

?

Дело в том, что /etc в моей технологии фейковый, там он ничего не найдет. Но даже если бы он прочитал /etc/passwd - что это бы ему дало?
Список аккаунтов и что дальше?

Дело не в том что он там прочитает, а в принципе, а все другие папки на сервере тоже фейковые создаются?

Грамотному хакеру даже /etc/passwd помогает иногда, например чтобы выяснить, где хомедир и логины юзеров в системе.

Технология позволяет создать шаблон для ssh. Так что можно хоть всю структуру зафейкать. И что с того, что кто-то узнает homedr? Допустим если там права 700/600 - это ему не поможет

Вот кстати отчет на уязвимость, делал специалист:
1) Список SUID и SGID бинарников, доступных к запуску:
$ find / -type f \( -perm -04000 -o -perm -02000 \) -print
/bin/umount
/bin/traceroute6
/bin/traceroute
/bin/su
/bin/ping6
/bin/ping
/usr/bin/rcp
/usr/bin/at
/usr/bin/chage
/usr/bin/chsh
/usr/bin/rlogin
/usr/bin/lppasswd
/usr/bin/passwd
/usr/bin/gpasswd
/usr/bin/rsh
/usr/bin/crontab
/usr/bin/sudo
/usr/bin/chfn
/usr/bin/sg
/usr/bin/newgrp

Из этих бинарников я пробовал sudo, но он требует наличие /etc/sudoers,
я создал /usr/local/etc/sudoers, но не помогает. Пробовал портировать
бинарник sudo, который работает с /usr/local/etc/sudoers, но не помогло,
не хотят запускаться.

2) Список writable директорий:
$ find / -type d -user test123 -print
/
/dev
/proc/26876
/proc/26876/task
/proc/26876/task/26876
/proc/26876/task/26876/fd
/proc/26876/task/26876/attr
/proc/26876/fd
/proc/26876/attr
/proc/18904
/proc/18904/task
/proc/18904/task/18904
/proc/18904/task/18904/fd
/proc/18904/task/18904/attr
/proc/18904/fd
/proc/18904/attr
/tmp
/tmp/mc-test123
/usr
/usr/local
/usr/local/lib
/usr/local/etc

3) Попытка закачать и чего-то запустить:
Закачать что-либо можно было с помощью links, но скомпилить к примеру
експлоит невозможно, т.к. отсутствует gcc, если взять gcc с другого
сервера,
то он отказывается запускаться:
-bash-3.00$ ./gcc
-bash: ./gcc: cannot execute binary file

В данный момент закачать что-либо невозможно.

4) Шеллбомбинг:
$ ){ :|:&};:
[1] 30540
-bash-3.00$ -bash: fork: Resource temporarily unavailable
-bash: fork: Resource temporarily unavailable
-bash: fork: Resource temporarily unavailable
-bash: fork: Resource temporarily unavailable

[1]+ Done : | :

Шеллбомбинг не увенчался успехом.

5) Использовал брутфорсер hydra:
% hydra -l root -P dictionary_english.dic -f HOST ftp
Hydra v5.2 © 2006 by van Hauser / THC - use allowed only for legal
purposes.
Hydra (http://www.thc.org) starting at 2006-11-15 11:07:47
[DATA] 16 tasks, 1 servers, 241574 login tries (l:1/p:241574), ~15098
tries per task
[DATA] attacking service ftp on port 21
[STATUS] attack finished for HOST (waiting for childs to
finish)
Hydra (http://www.thc.org) finished at 2006-11-15 14:37:11

Безрезультатно.

6) Эксплоиты скомпилировать никак не нельзя, т.к. нет gcc.
Если же взять готовые, то они отказываются
запускаться:
-bash-3.00$ ./root2
-bash: ./root2: cannot execute binary file

извините, не понял - список бинарников, разрешенных к запуску, ограничен неким списком ( файлы шаблона) ?

Не списком а самими файлами. По аналогии с VPS.
Можно взять и разрешить все системные, я так и сделал для тестового аккаунта. Как видно - проблем нет.

Если возмём gcc именно с такой дистрибуции и версии что на сервере ? Тоже не запуститься ?

Неа. Но тут уже играет grsec с tpe