Húzzál rá még valamilyen MAC megoldást, szerintem evidens, chroot-nál mindenképp jobb. Hiába a chroot, ott még azért van shell és kernel exploit-tal próbálkozhat a támadó ha bejutott, igaz-e?