A melhor maneira é usar o SFTP do SSH e prender o usuário.
no arquivo: /etc/ssh/sshd_config
certifique-se de que esta linha não seja inventada:
Subsystem sftp internal-sftp
Em seguida, configure a regra para corresponder a um grupo:
Match group sftponly
ChrootDirectory /home/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
e, por último, gerenciar os usuários:
# chown root.root /home/user
# usermod -d / user
# adduser user sftponly
Fonte: link