Обычная практика - предоставить общий доступ к файлам всем пользователям на одной машине? [дубликат]
Он обеспечивает разумную изоляцию файловой системы для некорневых процессов.Однако у chroot есть несколько ограничений. В основном, пользователь root может легко уйти из окружения. Было бы лучше использовать изолированную среду, которая обеспечивает изоляцию привилегий root, такую как тюрьмы FreeBSD, контейнеры Linux или Docker.
Если хакер находит способ использовать веб-приложение таким образом, чтобы он / она мог запустить некоторый код как root, chroot обеспечивает только защиту, которую хакер может не знать, что он / она находится в chrooted среде. В случае обнаружения хакер может запустить какой-то тривиальный код для chroot в систему, которую вы пытаетесь защитить. Это не так обстоит дело с другими упомянутыми выше технологиями, где выход из корневого каталога будет считаться уязвимостью в этой технологии, а не ожидаемым поведением.
Ответ на ваш вопрос сводится к тому, что достаточно для вас с учетом конкретных предоставляемых услуг и веб-приложений.