部署背景：
最近有一客户提出这么个需求，要在公司信息机房部署一台登录跳板服务器，让以后用户访问机房内的服务器都必须先登录这台跳板服务器，然后再ssh到其他服务器。具体要求为：
1）安全最大化，普通用户登陆到这台跳板服务器后只能执行ssh，ls等有限的基础命令。
2）把普通用户锁定在特定的目录下，这样即使被hack，也不会影响其他用户。

需求分析：
根据客户所提要求，那么就必须搭建一openssh server，利用ssh+chroot功能来实现。而在openssh 4.8p1以前的版本，要支持chroot，必须使用第三方的修改。但从openssh 4.8p1以后，chroot功能已经被内置了，为此可以直接在服务器系统（CentOS 5.5）上搭建。

系统平台：
CentOS 5.5 i386
openssh 5.6p1
zlib-1.2.5
openssl-1.0.0c

下边是详细的配置过程：

[root@server ~]# mkdir /var/chroot
[root@server ~]# cd /var/chroot
[root@server chroot]# mkdir {bin,dev,lib,lib64,etc,home}
[root@server chroot]# mknod dev/null c 1 3
[root@server chroot]# mknod dev/zero c 1 5

#可选，这两个文件ssh命令需要，如缺少会报告：PRNG is not seeded
[root@server chroot]# mknod dev/random c 1 8
[root@server chroot]# mknod dev/urandom c 1 9

#可选，ssh命令需要，如缺少会报告：Host key verification failed
[root@server chroot]# mknod dev/tty c 5 0

#修改/var/chroot及其子目录的属主，并修改权限
[root@server chroot]# chown -R root.root /var/chroot
[root@server chroot]# chmod -R 755 /var/chroot

#允许用户写这些设备文件，不可写会有些命令报错
[root@server chroot]# chmod 0666 dev/{null,zero,tty}

然后将要允许用户执行的可执行文件和依赖的库文件复制到相应位置。例如必须给用户一个可用的shell，则我们一般用/bin/bash，那么执行ldd命令查看相关信息：
[root@server chroot]# ldd /bin/bash
        linux-gate.so.1 =>  (0x00572000)
        libtermcap.so.2 => /lib/libtermcap.so.2 (0x0388b000)
        libdl.so.2 => /lib/libdl.so.2 (0x00839000)
        libc.so.6 => /lib/libc.so.6 (0x006b3000)
        /lib/ld-linux.so.2 (0x0068f000)
说明/bin/bash要正确执行，依赖于如下几个文件：
/lib/libtermcap.so.2
/lib/libdl.so.2
/lib/libc.so.6
/lib/ld-linux.so.2
那么我们必须把/bin/bash和相应的库文件复制到对应的位置。
[root@server chroot]# cp -p /bin/bash /var/chroot/bin
[root@server chroot]# cp -p /lib/libtermcap.so.2 /var/chroot/lib
[root@server chroot]# cp -p /lib/libdl.so.2 /var/chroot/lib
[root@server chroot]# cp -p /lib/libc.so.6 /var/chroot/lib
[root@server chroot]# cp -p /lib/ld-linux.so.2 /var/chroot/lib

类似上边这样，对每个想要允许用户执行的文件都如此操作即可。

这里只是为了说明下具体过程，实际应用时肯定要用脚本来执行的。我从一网站抄来一个脚本（这里我命名为shell.sh），略加修改，内容如下:

[root@server chroot]# ll
总计 28
drwxr-xr-x 2 root root 4096 02-25 05:47 bin
drwxr-xr-x 2 root root 4096 02-25 05:36 dev
drwxr-xr-x 2 root root 4096 02-25 05:35 etc
drwxr-xr-x 2 root root 4096 02-25 05:35 home
drwxr-xr-x 2 root root 4096 02-25 05:51 lib
drwxr-xr-x 2 root root 4096 02-25 05:35 lib64
-rw-r--r-- 1 root root  665 02-25 06:50 shell.sh
[root@server chroot]# chmod 755 shell.sh
[root@server chroot]# ./shell.sh
/bin/bash done
/bin/ls done
/bin/cp done
/bin/mkdir done
/bin/mv done
/bin/rm done
/bin/rmdir done
/lib/ld-linux.so.2 done
/lib/libacl.so.1 done
/lib/libattr.so.1 done
/lib/libc.so.6 done
/lib/libdl.so.2 done
/lib/libpthread.so.0 done
/lib/librt.so.1 done
/lib/libselinux.so.1 done
/lib/libsepol.so.1 done
/lib/libtermcap.so.2 done

复制/etc/passwd和/etc/group文件到/var/chroot/etc中，并删除用户自己和root以外的所有帐号。如果没有这两个文件，用户登录以后会报“I have no name!”
[root@server chroot]# cp -p /etc/passwd /var/chroot/etc/
[root@server chroot]# cp -p /etc/group /var/chroot/etc/