<div dir="ltr">Why do you want to stop sftp? Do you want to stop "ssh cat\ remotefile > local file" as well?<div><br></div><div>If you just to discourage users  from accidentally violating some anti sftp policy, something like `chmod 750 /usr/bin/sftp` might work </div><div><br></div><div>This clearly wouldn't prevent the user from using other ways of using their ssh account as a filesystem. If you want to discourage that you could try limiting bandwidth to 64Kbps.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 20 July 2017 at 17:04, Andrew Furey <span dir="ltr"><<a href="mailto:andrew.furey@gmail.com" target="_blank">andrew.furey@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div>Hi all, long time no post...<br><br></div>I have a requirement for users to have full user-level SSH access (their profile then launches a full-session application and logs out at the end; they don't have shell access within this application so it's safe enough to just allow as normal).<br><br></div>I want to restrict ability to use SFTP to trundle through the filesystem. However I would like to still allow it for root (grand prize being other specified users if possible too) so I can't just turn the Subsystem itself off... can I?<br><br></div>I don't think I can use the internal-sftp and then chroot it (which would probably also be sufficient) as the requirement for 755 root:root on the home directory and above will most likely break the intended application.<br><br></div>Any ideas?<span class="HOEnZb"><font color="#888888"><br><br></font></span></div><span class="HOEnZb"><font color="#888888">Andrew<br clear="all"><div><div><div><div><div><div><div><div><br>-- <br><div class="m_9183486629248798881gmail_signature" data-smartmail="gmail_signature">Linux supports the notion of a command line or a shell for the same<br>reason that only children read books with only pictures in them.<br>Language, be it English or something else, is the only tool flexible<br>enough to accomplish a sufficiently broad range of tasks.<br>                          -- Bill Garrett</div>
</div></div></div></div></div></div></div></div></font></span></div>
<br>______________________________<wbr>_________________<br>
PLUG discussion list: <a href="mailto:plug@plug.org.au">plug@plug.org.au</a><br>
<a href="http://lists.plug.org.au/mailman/listinfo/plug" rel="noreferrer" target="_blank">http://lists.plug.org.au/<wbr>mailman/listinfo/plug</a><br>
Committee e-mail: <a href="mailto:committee@plug.org.au">committee@plug.org.au</a><br>
PLUG Membership: <a href="http://www.plug.org.au/membership" rel="noreferrer" target="_blank">http://www.plug.org.au/<wbr>membership</a><br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">John C. McCabe-Dansted</div>
</div>