isso funciona para mim com o OpenSSH 5.1:
defina um padrão restrito para todos, mas deixe que o grupo de funcionários tenha os padrões (irrestritos).
Match Group *,!staff
ChrootDirectory /home/ftp
ForceCommand internal-sftp
Eu quero tornar ForceCommand internal-sftp e ChrootDirectory /jail o padrão para todos os usuários que acessam um servidor via SSH. Somente usuários em um determinado grupo podem escapar disso.
Como posso excluir um determinado grupo de ForceCommand internal-sftp em um bloco Match ?
É possível redefinir ChrootDirectory atribuindo um valor none .
A correspondência entre o grupo e a configuração ForceCommand none não funciona (provavelmente porque não há nenhum programa "nenhum"), ForceCommand bash funciona para o acesso ao shell, mas o SFTP não funcionará mais.