Как разрешить файловый xfer для пользователей в/из системы, но не по ssh, без изменения их оболочки

Если у пользователей есть какой-либо идентифицирующий маркер (, например членство в группе ), которое указывает, должны ли они иметь интерактивный вход в систему, вы можете поместить файл в /etc/profile.d, который проверяет, является ли пользователь участником соответствующей группы. Если они не проходят проверку, выполните команду exit.

Вам не обязательно использовать членство в группе, это просто пример. Если у вас есть статический список допустимых пользователей, это тоже может сработать.

Идея состоит в том, что сценарий профиля запускается только как часть интерактивного входа в систему, что позволяет передавать файлы без предоставления оболочки.