az sftp/ssh szervert magát is chrootba tenném, ahol az a chroot úgy van összerakva, hogy
- csillagos legyen a root account passwordje
- minden, ezen chroot alatt elérhető írható mount point nodev,nosuid,noexec legyen (ami nem lehet ilyen, az legyen ro)
ezt az sftp/ssh szervert véletlenül sem a default portra raknám (ne próbálgassák már be állandóan), és "természetesen" ennek a szervernek csak az sftp userek kiszolgálása lenne a feladata.