Como configurar o sftp chrooted e não chrooted?

Estou tentando configurar meu servidor Openssh para permitir usuários somente do sftp com chroot, bem como para usuários sftp e ssh não-chrooted. Meu condensado (comentários e linhas em branco removidos) / etc / ssh / sshd_config se parece com isto:

Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp intenal-sftp
UsePAM yes
Match Group sftpusers
        ChrootDirectory /var/sftp/%u
        ForceCommand internal-sftp

O que eu consegui com isso:

• Os usuários do grupo sftupsers podem inserir seus arquivos em seus diretórios, mas não podem efetuar login. Verifique.
• Usuários que não estão em sftpusers podem fazer login via ssh. Verifique.
• Usuários que não estão em sfttpusers podem não arquivos sftp. Opa.

Se eu alterar a Subsystem sftp -line para a versão comentada, os usuários "privilegiados" poderão sftp e ssh, mas os usuários não poderão mais sftp.

Com o arquivo de configuração acima, recebo a mensagem de erro Connection closed by server with exitcode 127 do FileZilla e Fatal: Received unexpected end-of-file from SFTP server do psftp.

Alguma ideia de como corrigir isso?