User einsperren ohne jail

Tag liebe Listenleser,

ich würde gern einen User einsperren, so daß

- er sein Heimverzeichnis nicht verlassen kann und
- nur bestimmte Programme (jenseits der systemeigenen Programme, also
nur für Programme unterhalb /usr/local/) von ihm ausführbar sind.

Mein Problem beginnt schon beim Login, kann man dort gleich mittels
chroot(1) für Isolation sorgen?

Die Steuerung der Programmausführung dürfte mit geeigneten Rechten auf
dem Binary hinzubekommen sein, ist aber sensibel zu verwalten. Jede
Aktualisierung von ports führt ja schon dazu, daß die Rechte eventuell
nicht mehr passen ...

Ist das möglich, bekommt man so eine Konfiguration hin, ohne dem Irrsinn
zu verfallen?
Oder sollte ich besser ein Jail aufsetzen?
Oder noch eine andere Lösung benutzen, die ich nicht kenne?

Gespannte Grüße,

-- 
Marc Santhoff <M.Santhoff(at)web.de>
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message