如何只允许通过RSA密钥使用SSH，以及通过密码和chroot允许SFTP？

在我的Ubuntu 16.04 LTS服务器上，我想做以下事情：

• 启用具有sudo特权的非root用户，以使用RSA密钥（无密码）SSH进入服务器
• 使选定的非管理员用户可以使用密码通过SFTP将文件上传到其自己的主目录中
• 防止非管理员用户访问文件系统的其余部分

我正在使用Ubuntu 16.04.3 LTS的新安装版本，因此所有内容均处于默认出厂状态。

我已经仔细阅读了这个问题和答案，但是找不到解决方案。

我创建了一个nonrootadmin具有sudo特权的用户。

我创建了一个nonadminsftp用户，该用户是该sftpaccess组的成员。该/home/nonadminsftp/目录如下所示：

$ ls -al ~nonadminsftp
total 24
drwxr-xr-x 3 root         root       4096 Oct 25 00:52 .
drwxr-xr-x 5 root         root       4096 Oct 24 22:29 ..
-rw-r--r-- 1 nonadminsftp sftpaccess  220 Sep  1  2015 .bash_logout
-rw-r--r-- 1 nonadminsftp sftpaccess 3771 Sep  1  2015 .bashrc
drwxr-xr-x 3 nonadminsftp sftpaccess 4096 Oct 25 00:50 ftp
-rw-r--r-- 1 nonadminsftp sftpaccess  655 May 16 13:49 .profile

它们各自的条目/etc/passwd如下：

nonrootadmin:x:1000:1000::/home/nonrootadmin:/bin/bash
nonadminsftp:x:1002:1002::/home/nonadminsftp:/usr/sbin/nologin

我对该/etc/sshd/sshd_config文件所做的更改如下：

PermitRootLogin no
#PasswordAuthentication no

AllowUsers nonrootadmin nonadminsftp
Subsystem sftp internal-sftp
Match group sftpaccess
#ChrootDirectory %h
X11Forwarding no
AllowTcpForwarding no
#ForceCommand internal-sftp

我所看到的解决方案建议对其中的3行进行注释，但我发现：

• PasswordAuthentication no 防止nonadminsftp用户使用密码连接：

  $ sftp [email protected]
  Permission denied (publickey).
  Couldn't read packet: Connection reset by peer
  

• ChrootDirectory %h 完全阻止nonrootadmin用户进行连接：

  $ ssh [email protected]
  packet_write_wait: Connection to 12.34.56.78 port 22: Broken pipe`
  

• ForceCommand internal-sftp 防止nonrootadmin获得SSH访问权限：

  $ ssh [email protected]
  This service allows sftp connections only.
  Connection to mydomain.com closed.`
  

这些行注释掉了：

• nonrootadmin确实具有使用RSA密钥的SSH访问
• nonadminsftp可以使用FTP客户端（例如FileZilla）进行连接

但：

• nonadminsftp没有chroot编到/home/nonadminsftp目录
• nonrootadmin可以使用密码登录

我想念的是什么？

提前致谢