Xournal :Добавленный текст усекается в результирующем PDF

Прежде всего, ChrootDirectoryдолжен принадлежать пользователю root и не быть доступным для записи другим пользователям. Таким образом /var/sharedв вашем случае не может быть значением ChrootDirectory.

Я бы порекомендовал создать каталог, который будет доступен для записи только пользователю root, и сделать /var/sharedдоступным внутри этого каталога либо с помощью монтирования Linux bind -, либо с помощью обходных путей символических ссылок.

Если вам нужно ограничить sftpили rsync, вам нужно проверить переменную окружения SSH_ORIGINAL_COMMANDна сервере с помощью «обертки», принудительно установленной либо через ForceCommand, либо через commandв открытом ключе ssh, эта переменная заполняется после аутентификации пользователя и содержит информацию о том, какое соединение собираются установить клиенты. Для sftpу него будет sftp-serverвнутри, для rsyncу него будет rsync, только для sshсеанса у него будет IIRC, пустая переменная, для ssh dateэто будет date. SSH_ORIGINAL_COMMANDвыполняется под аутентифицированным пользователем на сервере!

Это может быть началом обертки:

#!/usr/bin/env bash

set -eu
set -o pipefail

[[ -z "${SSH_ORIGINAL_COMMAND:-}" ]] && exit 1

case "${SSH_ORIGINAL_COMMAND}" in
    "/usr/libexec/openssh/sftp-server")
        exec /usr/libexec/openssh/sftp-server
        ;;
    "rsync --server"*)
        exec ${SSH_ORIGINAL_COMMAND}
        ;;
    *)
        exit 1
        ;;
esac

Как видите, ssh -vдает вам информацию о том, какая команда будет выполнена сервером.Таким образом, вы также можете изменить /tmpна что-то другое в своей оболочке.

$ rsync -a -e "ssh -v" bin localhost:/tmp/ 2>&1 | grep '^debug.*Sending command:'
debug1: Sending command: rsync --server -logDtpre.iLsfxC. /tmp/