SFTP server, Debian 7 Wheezy, one directory

cat /etc/passwd

cat /etc/group
(чтобы sftp_user получил доступ к папке сайта в корне, он также находится в группе www-data)

Ставим 755 на директории public_html и www и делаем рута владельцем (“…All components of the pathname must be root-owned directories that are not writable by any other user or group…”, такое же требование есть у ftpd-серверов в случае с пользовательским chroot):

После входа по SFTP, SSHD меняет эффективного пользователя на залогинившегося – работает не от рута (т.е. выполнивший вход не сможет писать в корень www или уйти выше).
Добавляем в конец sshd_conf


P.S. Скачать пересобранный vsftpd 2.3.5 с опцией allow_writeable_chroot=YES:
vsftpd_2.3.5-10~update.1_amd64
vsftpd_2.3.5-10-update.1_i386