A maneira mais simples que me vem à mente é desabilitar o SFTP e alterar o shell para / usr / sbin / nologin ou algo parecido (um programa que simplesmente imprime "Esta conta não está disponível atualmente" e sai)
Se você não se preocupa com o armazenamento de arquivos em seu usuário em sua máquina, então você é um / etc / passwd longe de uma solução. Se você está preocupado com o preenchimento do seu disco rígido com lixo, posso sugerir a criação de cotas? ;)
Como para restringir as portas utilizáveis, o "permitopen" no sshd_config deve servir bem a esse propósito. Ele não fará exatamente o que você quer, já que ele só pode desaprovar todos, exceto um determinado conjunto de alvos de host para -L, mas pode ser viável executar um sshd separado especificamente para esses usuários, já que você tem essas necessidades específicas para sua restrição.