Merci pour vos retours:

Les 2 solutions retenues pour de la prod avec plusieurs centaines d'utilisateur sont:

1/chroot ssh avec une sous arborescence pour que le $HOME apppartienne à root. Il est necessaire de mettre les librairies et devices (/dev/null) necessaires. On peut ainsi "autoriser" certaines commandes et pas d'autres

2/lshell est pas mal du tout. J'avais rencontré un bug lors de l'installation. Mais je viens de rester et cela semble stable.

Le user est chrooté par un systeme de filtrage intelligent de commande, et la liste des commandes autorisées et dans un fichier de conf.

D'un côté, une solution reposant sur le pilier de l'accès distant mais lourd à mettre en oeuvre.

D'un autre côté, tout passe à travers un "script" python, il faudra tester le contournement.

Merci à tous.

Je pense mettre la lshell en prod prochainement, je ferais un retour sur d’éventuel problème ou optimation