Se possível, bloqueie o SSH (porta TCP 22) da Internet. Você terá bots tentando senhas durante todo o dia. Se você precisar ter acesso SSH remoto, considere usar uma VPN ou, pelo menos, colocar o SSH em uma porta não padrão e / ou limitar os endereços IP que podem se conectar.
Mudar o shell é um bom primeiro passo, mas você quer ter certeza de que eles não podem usar nenhum outro recurso e prendê-los o máximo possível. O encaminhamento de TCP é um grande problema. É basicamente usando a conexão como VPN e proxy, para que o invasor esteja na sua rede, atrás do seu firewall. Eles podem usar isso para atacar seus hosts internos ou montar ataques de sua rede contra outros. Se você for expor a porta SSH, modifique sshd_conf para reduzir o que eles podem fazer:
DenyGroups ftpusers ....if they shouldn't SSH/SFTP at all
Match group ftpusers ....whatever group you've assigned to the accounts
AllowTcpForwarding no
X11Forwarding no
ForceCommand internal-sftp
ChrootDirectory /home/ftpuser ....or some other safe place, like an empty folder.
A segunda opção pode ser útil se você quiser SFTP, mas não SSH. Dê uma olhada em man sshd_config para os padrões de correspondência.