Estou usando o vsftpd e não consigo obter o comportamento desejado por meio do vsftpd.conf. E se você quiser que /folder seja a pasta raiz de alteração para impedir que os usuários subam uma pasta, mas o diretório inicial de todas as sessões seja /folder/$USER??
#vsftpd.conf
user_sub_token=$USER
local_root=/folder
#user_config_dir=/etc/vsftpd/users
passwd_chroot_enable=YES
#hide everything
hide_file={.*}
Se eu usar passwd_chroot_enable=YES, ele substituirá local_root=/folder e fará o chroot da sessão para /folder/$USER (a pasta inicial especificada em /etc/passwd). O chroot e a pasta inicial das sessões não deveriam ser duas coisas diferentes? Por que eles estão sendo colocados juntos assim? Quero que os usuários acessem sua pasta pessoal, mas fiquem restritos a apenas uma pasta atrás. Dessa forma, o caminho dentro da sessão FTP será /username em vez de apenas /.
Aqui está um exemplo de funcionamento em sftpd (sshd_config):
Match Group mtlsftpprd001_edi-ftp
ChrootDirectory /folder
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp -l INFO -d %u
KerberosAuthentication yes