O Proftpd tem um servidor sftp integrado que permite separar completamente os usuários do sshd para fins de transferência de arquivos. Você pode configurá-lo para que ele use um arquivo passwd completamente separado para isolá-los ainda mais (é difícil entrar em um sistema com o ssh e romper um chroot se você não tiver um usuário em / etc / passwd .. .)
O proftpd também permite chroot e isolar o usuário do sftp para um conjunto de diretórios facilmente.
Nós fazemos algo assim:
LoadModule mod_sftp.c
<VirtualHost 10.1.1.217>
ServerName "ftp.example.com"
# from http://www.proftpd.org/docs/howto/NAT.html
MasqueradeAddress 1.2.3.4
PassivePorts 27001 27050
UseSendfile off
ExtendedLog /var/log/proftpd/access.log WRITE,READ default
ExtendedLog /var/log/proftpd/auth.log AUTH auth
AuthUserFile /etc/proftpd/AuthUsersFile
AuthOrder mod_auth_file.c
<IfModule mod_sftp.c>
Port 10022
SFTPAuthorizedUserKeys file:/etc/proftpd/ssh_authorized_keys/%u
SFTPEngine On
SFTPLog /var/log/proftpd/sftp.log
SFTPHostKey /etc/ssh/proftpd-ssh_host_rsa_key
SFTPHostKey /etc/ssh/proftpd-ssh_host_dsa_key
MaxLoginAttempts 6
</IfModule>
</VirtualHost>