Немного вернусь назад.То, что программы, помещённые в chroot не вписываются в иерархию пактов доказывает лишь то, что chroot либо изначально не предназначен для защиты демонов, либо просто неправильно сделан.
Для защиты сервисов было бы разумнее сделать специальное средство, работающее на уровне ядра, которое изолировало бы определённый процесс доступом только к определённым файлам. Нечто вроде acl для каждого из сервисов, сюда же можно было бы добавить отдельные настройки фаерволла. Но всё это уже медленно переходит в идею паравиртуализации.
Мне кажется, что в настоящее вреям именно паравиртуализация - самое лучшее средство защиты сервисов.