Con SELinux desarrollado por NSA y AppArmor por Novell [*], existen soluciones alternativas cuando se intenta bloquear un sistema y ejecutar aplicaciones, basadas en ACL y conceptos similares como Zones en Solaris.
con aplicaciones me refiero a: servicios que están disponibles y accesibles al público a través de la red, a saber, todo tipo de servidores web / de aplicaciones, pero también servidores de base de datos.
chroot no es una opción, porque su PITA se debe configurar y mantener a largo plazo (experiencias).
Lo que quiero lograr: limitar el acceso de los servicios basados en red a sus archivos de configuración y datos solamente (docroot para servidores web, dbs para db-server, etc.); Las conexiones salientes se gestionan a través de firewall y servidores de servicio. Si algún atacante puede acceder al sistema, estará limitado a lo que se ve y lo que se debe hacer, por ejemplo. No ejecute programas, no lea otros archivos.
[*] debido a las órdenes de mordaza y demás, ya no hay confianza.