VS>> IMHO что jail что chroot - разница небольшая с той точки зрения, VS>> что внутрь jail/chroot придется монтировать devfs с нужными VS>> правилами AK> именно что с нужными - то есть вовсе не с общесистемными. И ни тебе AK> suid бинарников рядом, ни доступа к ipc, ни других процессов, ни много AK> чего еще лишнего.
AK> То есть даже jail в / - это уже заметное сужение вектора атаки.