/etc/ssh/sshd_configに以下の内容を追加する
Subsystem sftp internal-sftp Match Group sftp-only PasswordAuthentication yes ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no
あとはユーザーをsftp-onlyグループに所属させればおーけー。ホームディレクトリがchrootされるようになる。
ちなみに、sshで接続しようとしても「This service allows sftp connections only.」と表示されてログインできないようになっている。