спасибо за ответы. разобрался с sudo.
Добавлять его пользователю в chroot-окружение в моем случае нет необходимости, так как chroot-ится пользователь при логине, а скрипт от имени того же пользователя запускается в контексте настоящего корня сервера и ему доступен /usr/local/bin/sudo.
В сочетании с местоположением скрипта (например недоступным из chroot), запретом на редактирование или разрешением sudo конкретной команды для конкретного каталога (ALL=(www) NOPASSWD: /bin/rm -rf /usr/local/vhost/project/tmp/nginx_cache/*) получается достаточно безопасное решение.
еще раз спасибо.