Permissões adequadas nos subdiretórios de upload e download de SFTP no diretório inicial de um usuário?

Eu tenho um servidor executando o OpenSSH. Eu configurei um servidor SFTP no qual os usuários podem se conectar. Eu criei o usuário userName com uma pasta em /sftp/userName com permissões de 555 e proprietário root . Esta pasta tem duas subpastas, upload e download com permissões de 755 e 555 , respectivamente. Ambas as subpastas são de propriedade de userName . Eu configurei meu servidor para evitar que userName acesse qualquer coisa fora de /sftp/userName e esta pasta age como o diretório raiz quando userName está logado.

Meus objetivos:

• permite que userName faça login e veja as pastas download e upload em /sftp/userName .
• impede que userName faça o upload ou download de qualquer item da pasta /sftp/userName .
• permite que userName entre em download e baixe arquivos, mas não faça o upload de arquivos.
• permite que userName entre em upload e faça upload / download / delete de arquivos.

Todo esse comportamento funciona corretamente e parece ser uma boa configuração para minha situação.

Meu problema é que userName pode alterar as permissões nas pastas upload e download usando chmod xxx .

Perguntas:

Como posso impedir que userName faça alterações nas permissões de pasta em upload e download ?

Existem outras armadilhas com a minha configuração que eu deveria estar ciente?