> Здесь, как я понимаю, вполне может быть реализована авторизация для уже занятых
> логинов по fingerprint или по другим признакам. Разница между данным решением
> и костылями через pam в том, что не придётся продумывать и
> реализовывать мегатонну деталей: Те перцы написали кастомный сервер. Который умеет ровно то что умеет. Если ты хочешь юзануть обычный sshd - ты дорвешься до того что хомяки взломают твою систему через кучу неочевидных фич.
Лучший способ разобраться с проблемными фичами - это выпилить их нафиг. Или точнее, не реализовывать совсем. От ssh там только шифрование и протокол. А сервер и его логика кастомные. Он не умеет запускать программы. Он не умеет sftp. Он плевал на попытки форварда портов и прочие впн-ы. А вот обычный sshd - out of the box совсем не предназначен для отдачи его на растерзание недоверяемым внешним юзерам которые могут дергать его фичи. И если ты надеешься что сможешь его закостылить - я думаю что закончится это фееричным взломом серверной машины. Кернелорг подтверждает!
> 1. Сделать по изолированному контейнеру каждому пользователю
Это вообще зачем? Иначе недостаточно энтерпрайзно чтоли? Сделать кастомный сервер который умеет только то что нужно и ни битом больше. Иначе вам машину поадминят через тул сделанный для администрирования.
> _многих_ примеров) один пользователь может замусорить какой-нибудь IPC,
А зачем пользователю чЯтика возможность вообще что-то делать с IPC? Это сначала создать себе проблемы, а потом пытаться их героически замазать? Вы вроде компетентнее казались...
> 2. Запретить SFTP и прочую фигню.
Вы хотите использовать обычный sshd? Вон kernel.org уже использовали. Закончилось тем что их сломал. Автоматический червяк вообще.
> 4. Сделать screen с irssi шеллом по умолчанию
Зашибись - еще и решить за пользователя какой клиент ему должен быть удобен.
> 5. Модифицировать irssi так, чтобы люди не занимались ничем левым, кроме как
> chat-ом на данном сервере.
И заметить что в паре мест вышла лажа. Так что сервак тихой сапой ломанули.
В общем совершенно гнилая затея с поиском проблем на свой зад.