В общем, «сам-спросил-сам-отвечаю».
С решением данной задачи отлично справляется оболочка
lshell
Основной недостаток применения chroot для решения этой проблемы в том, что для помещенного в него пользователя требуется собирать (пусть и минимальное) окружение. То есть нужно дублировать некоторые данные, следить за обновлениями и пр.
Lshell — это пользовательский шелл, который разрешает пользователю выполнять только определенные команды и ходить в заданные директории. Конфиг очень простой и понятный, поэтому я за 10 минут разобрался и уже протестировал эту связку.
После установки пакета из стандартного репозитория Дебиана, необходимо подсунуть пользователю в качестве оболочки lshell и добавить параметры пользователя в конфиг, где нужно указать список разрешенных комманд, и при желании добавить директории.