Итак настроим сервер sshd следующим образом

  1. разрешить аутентификацию только по ключам
  2. пользователей группы webuser заключать в chroot-jail

Правим файл конфигурации сервер sshd /etc/ssh/sshd_config

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no
 
#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp
 
Match group webuser
        ForceCommand internal-sftp
        ChrootDirectory /var/vhost/%u
        X11Forwarding no
        AllowTcpForwarding no

Перезапустим сервер ssh чтобы параметры вступили в силу

/etc/init.d/ssh restart

Теперь пользователи группы webuser могут получить доступ к сайту только по протоколу SFTP

root@deamon:~# sftp drivesource@localhost
Connecting to localhost...
drivesource@localhost's password:
sftp> ls
htdocs
sftp> pwd
Remote working directory: /
sftp>