Убедитесь, что у вас есть UsePAM yesв /etc/ssh/sshd_configи настроить модуль PAM, который считывает пользовательскую базу данных с места внутри изолированной. Нет простого способа сделать pam_unixчтение по-разному passwdи shadowфайлов, но вы можете использовать pam_ldapвместо этого и запустить сервер LDAP внутри chroot (или даже лучше, вне chroot, храня свои данные где-то под /var).
Что касается того, использовать ли виртуализацию, это зависит от того, что вы ожидаете от chrooting. Он не обеспечивает особой защиты от пользователя с доступом к оболочке. Например, локальная корневая дыра дает полный доступ ко всей машине; локальные пользователи могут немного подглядывать за пределами chroot, тыкая внутрь /proc; сетевые порты, используемые внутри chroot, не доступны снаружи; ...