Во-первых, обычно требуется доступ для чтения к «другим каталогам» сервера. В конце концов, именно здесь находятся двоичные файлы и файлы данных для установленного программного обеспечения.
Если вы хотите запретить доступ к каталогам других пользователей, вы всегда можете установить стандартные маски umask, чтобы только владельцы имели доступ для чтения и позволяли пользователям решать, что включить для удобочитаемости. Или аналогичным образом поместите каждого пользователя в отдельную группу, которая используется по умолчанию в большинстве дистрибутивов Linux.
Если вы хотите запретить доступ всегда, без возможности его включения, вы можете поиграть с MAC-инструментами, такими как AppArmor (простой) или SELinux (сложный), чтобы сделать это. Хотя это требует значительных административных затрат, вам нужно подумать.
Раньше chroot был обычным решением для такого рода проблем, но в последние годы он потерял популярность, так как он не совсем изолирует вещи так, как вы ожидаете.
Наконец, «правильное» решение для изоляции пользователей обычно воспринимается как виртуализация, либо полная система через vmware, kvm, xen и т. Д.… Либо решения с одним ядром, такие как BSD jails или Solaris Zones.