Ist hier geplant, den Terminalzugriff hinter einer Jail zu verstecken?
Das gleiche gilt natürlich auch für den SSH-Zugriff.
Rein das Terminal ist sinnfrei, wenn SSH dann nicht eingesperrt wäre.
Jails sind schwierig und nur bedingt sinnvoll. Es müssten dann alle benötigten Programme (rsync, PHP, ...) mit allen Libraries mit in alle Jails kopiert werden. Das ist ein großer Wartungsaufwand und äußerst fehleranfällig.
Die von dir angesprochenen Backups in /var/backups wären bei uns dpkg und alternatives. Die sind unkritisch. Gefunden habe ich noch "shadow.bak", die allerdings auch auf Grund fehlender Berechtigungen nicht kopiert werden kann - passt.
Letztendlich müsste, neben SSH, dann auch ein Jail für PHP selbst verwendet werden. Sonst bin ich über "system('ls /var/backups');" auch wieder "draußen".
Persönliche Meinung: es ist sinnvoller, die Server allgemein zu härten. Leserechte entziehen, wenn nötig - und ja, manche Daten scheinen auf den ersten Blick ein Problem zu sein, sind aber schlichtweg für den Betrieb für alle lesbar nötig (Beispiel: /etc/passwd, damit die Directory Listings auch richtig angezeigt werden können).
Wir setzen bei uns noch "/var/www" auf 0751. Damit ist ein Directory Listing ("ls -la /var/www") nicht mehr möglich. Lässt sich aber durch die passwd auch umgehen, wenn es jemand drauf anlegt.