O Chroot já foi mencionado. Mas agora o ssh tem embutido para transferências sftp. Você pode desativar o acesso ao shell e usar uma configuração semelhante a esta .
As explorações de raiz local são sempre um problema para distros, existem apenas algumas coisas que você pode fazer facilmente.
- Desative os logins raiz e use o sudo.
- Desative a autenticação por senha em ssh (use chaves ssh com senhas).
- Torne os diretórios pessoais não navegáveis.
- Não forneça contas de shell se puder ajudar.
Eu levo isso um passo adiante e executo ssh em uma porta alta aleatória para dificultar a localização. Mais específico do que isso e precisaremos saber qual distribuição você está usando.