[ml] chroot e setuid

Salve a tutti la ML
questo è il mio primo post, premetto di aver guardato attentamente i post precedenti in merito all'oggetto ma purtroppo non ho trovato risposte ai miei dubbi.
Spiego la mia situazione: ho la necessità di chrootare nella mia box tutti i servizi che possono essere ritenuti vulnerabili da attacchi esterni (ma anche interni)... ho intrapreso da poco lo studio dell'ambiente chroot() e devo dire di avere non poche perplessità.
Innanzi tutto leggendo alcuni tutorial ho sentito, più di una volta, che quando si avvia un demone in ambiente chroot l'ideale è quello di avviarlo con un utente non privilegiato.. il punto è: se il demone che avvio non ha l'opzione per avviarlo con un utente non-root come faccio?
Il problema è stato subito risolto trovando il comando setuid.. l'ho provato e non va! Mi spiego, ho semplicemente impostato il bit del setuid sul demone da eseguire, ovviamente cambiando eventuali permessi ai file sui quali lavora e così via.. il problema e che non va, cioè non si avvia il demone e non restituisce alcun errore. Se tolgo il bit del setuid e provo ad avviarlo sempre in ambiente chroot va!
Ora la mia domanda è... perchè non va?:))) Mi è venuto in mente che magari il setuid non è supportato dal chroot per questioni particolari.. ma non so, non ho trovato nulla in merito in rete.. se c'è qualcosa ditemelo ve ne sarò molto grati.
Apparte questo ho cercato in giro per la rete se esistesse un programma in grado di eseguire un programma con un certo uid/gid.. e girando quà e là ho trovato un pacchetto chiamato deamon tools (http://cr.yp.to/daemontools) nel quale vi è un programmino chiamato setuidgid che come da descrizione (dgid runs another program under a specified account's uid and gid. ) permette di runnare un certo programma sotto uno specifico uid e gid.
Ultima cosa.. ma se il programma che devo runnare in chroot non ha bisogno di alcuna shell, cioè sh.. bash ecc posso anche non copiarle nella nuova radice no? Il mio dubbio deriva dal fatto che se qualcuno tentassi di infiltrarsi nel server e riuscisse a bucare il demone in ambiente chroot... che shell gli apparirebbe? Potrei comunque specificare in /etc/passwd come shell /bin/false ?
Se riuscite a tappare questi miei buchi ve ne sarei molto grato... grazie anticipatamente a tutti e buon lavoro!