Juste parce que je viens de découvrir qu'on peut restreindre simplement un utilisateur à un Shell minimal avec rssh .

Par exemple:
D'abord forcer l'utilisation du Shell /usr/bin/rssh dans /etc/password :

johndoe:x:1101:1101:,,,:/home/johndoe:/usr/bin/rssh

Puis limiter cet utilisateur a ne pouvoir faire que “scp”.
Il suffit d'editer le fichier /etc/rssh.conf et d'ajouter:

user=johndoe:011:000010:    # scp, with no chroot

(la conf est un poil illisible…)

: comment qu'on “chroot” ?