A partir da versão 4.9 O OpenSSH (não disponível no centos 5.x mas o recurso ChrootDirectory foi portado) tem um subsistema internal-sftp
:
Subsystem sftp internal-sftp
E bloqueie outros usos:
Match group sftponly
ChrootDirectory /home/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
Adicione seus usuários ao grupo sftponly
. Você precisa alterar o diretório de usuário para /
por causa do chroot e /home/user
deve pertencer a root
. Eu também defini /bin/false
como o shell do usuário.