1) Создается пользователь. В качестве шела указывается /bin/false 2) Добавляется в особую группу, либо, если он будет один такой, то ничего не делаем. 3) в /etc/ssh/sshd_config меняем подсистему sftp: Удаляем Subsystem sftp /usr/lib/openssh/sftp-server Добавляем ubsystem sftp internal-sftp Прописываем правила sshd_config для группы или пользователя: Для группы Match Group sftpusers ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no… Читать далее #8 — sftp chroot