useradd

по моему только рут может бродить по всем котологам, не ?

man chown chmod setfacl groups sshd_config

можно подробнее? а то с английским не очень, маны для меня - непонятные листы текста. :(

windows 7 максимальная

Юзер по умолчанию, если его не включать с какие-то дополнительные группы, как раз ограничен на запись своим домашним каталогом.

Так что надо только SSH подкрутить.

а можно тогда в -shell тыкнуть /bin/false или что-то подобное?

Тогда юзер даже локально залогинится в консоль не сможет, а это ему нужно, если, конечно, юзер настоящий, а не просто нужный для какой-нибудь программы (например, как пользователь www-data).

это хорошо, именно для программ и нужно. Спасибо за ответы! :)

назначить ему шелл в chroot

как раз ограничен на запись своим домашним каталогом.

есть ещё /tmp и /var/tmp где любят прятаться бэкдоры

Эти каталоги чистится при перезагрузке, либо смонтированы в tmpfs. Они нужны некоторым приложениям, которые без доступа к ним даже не смогут нормально работать. Можно считать это продолжение домашнего каталога (в любом случае, к чужому файлу в каталоге /tmp доступ закрыт правами).

ну /var/tmp типа persistent :)

непонятные листы текста. :(

Так нельзя! Или словарь+переводчик, или Windows 7 + вон из профессии.